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Procede, systeme, dispositif destines a prouver Pauthenticite d'ime 
entite et/ou Tintegrite et/ou Tauthenticite d'un message. 

La presente invention conceme les precedes, les systemes ainsi que les 
dispositifs destines a prouver I'authenticite d'une entite et/ou Tintegrite 
et/ou Tauthenticite d*un message, 

Le brevet EP 0 3 1 1 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel precede. On y fera ci-apres reference en le 
designant par les termes : "brevet GQ" ou " precede GQ". Par la suite on 
designera parfeis par "GQ2", "invention GQ2" ou "technologie GQ2" la 
presente invention. 

Selon le precede GQ, une entite appelee " autorit^ de confiance " attribue 
une identite a chaque entite appelee " temoin " et en calcule la signature 
RSA; durant un processus de personnalisatien, Tautorite de confiance 
donne identity et signature au temoin. Par la suite, le temoin proclame : 
" Void mon identite ; j'en connais la signature RSA. " Le temoin prouve 
sans la reveler qu'il cennait la signature RSA de son identite. Grace a la cle 
publique de verification RSA distribuee par Tautorite de confiance, une 
. entite appelee " controleur " verifie sans en prendre connaissance que la 
signature RSA correspond a Tidentite proclamee. Les mecanismes utilisant 
le precede GQ se deroulent " sans transfert de connaissance Selon le 
precede GQ, le temoin ne cennait pas la cle privee RSA avec laquelle 
Tautorite de confiance signe un grand nombre d'identites. 
La technologie GQ precedemment decrite fait appel a la technologie RSA. 
Mais si la technologic RSA depend bel et bien de la factorisation du 
module n, cette dependance n'est pas xme equivalence, loin s'en faut, 
comme le demontrent les attaques dites "multiplicatives" contre les 
diverses normes de signature nxmierique mettant en oeuvre la technologie 
RSA. 

L*objectif de la technologie GQ2 est double : d'une part, ameUorer les 



performances par rapport a la technologic RSA ; d' autre part, eviter les 
problemes inherents a la technologie RSA. La connaissance de la cle privee 
GQ2 est equivalente a la connaissance de la factorisation du module n. 
Toute attaque au niveau des triplets GQ2 se ramene a la factorisation du 
module n : il y a cette fois Equivalence. Avec la technologie GQ2, la charge 
de travail est reduite, tant pour I'entite q\ii signe ou qui s'authentifie que 
pour celle qui controle. Grace a un meilleur usage du probl^me de la 
factorisation, tant en securite qu'en performance, la technologie GQ2 evite 
les inconvenients presentes par la technologie RSA. 

Le procede GQ met en ceuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concement des nombres ayant sensiblement la 
meme taille eleves a des puissances de Tordre de 2^^ + 1. Or les 
injfrastructures microelectroniques existantes, notanmient dans le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmables 
monolithiques depourvus de coprocesseurs arithmetiques. La charge de 
travail U6e aux multiples operations arithmetiques impliquees par des 
procedes tels que le procede GQ, entrame des temps de calcul qui dans 
cenains cas s'averent penalisai:it pour les consommateurs utilisant des 
cartes bancaires pour acquitter leurs achats, n est rappele id, qu'en 
cherchant a accroitre la securite des cartes de paiement, les autorites 
bancaires posent un probleme particulierement delicat a resoudre. En effet, 
il faut traiter deux questions apparemment contradictoires : augmenter la 
securite en utilisant des cles de plus en plus longues et distinctes pour 
chaque carte tout en evitant que la charge de travail n'entraine des temps 
de calcul prohibitifs pour les utilisateurs. Ce probleme prend un reUef 
particulier dans la mesure ou, en outre, il convient de tenir compte de 
r infrastructure en place et des composants microprocesseurs existants. 
La technologie GQ2 a pour objet d'apporter une solution a ce probleme 
tout en renfor9ant la securite. 



Precede 

Plus particulierement, rinvention conceme un precede destine a prouver a 
une entite controleur, 

- Tauthenticite d'une entite et^ou 

- rintegrite d'lm message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Qj, Q2, ... et publiques Gi, Gj, ... 
G^ (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers Pi, 
P2» Pf ^tBiit superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

G| . Qi^ = 1 . mod n ou Gj = Qj^mod n 
Ledit exposant v est tel que 

ou k est un parametre de securite plus grand que 1 . 

Ladite vaieur publique Gj est le cane gj^ d'un nombre de base gj inferieui 
aux f factexnrs premiers p^, pj, ... p^ . Le nombre de base gj est tel que : 

les deux equations : 

= g. mod n et = - g. mod n 
n'ont pas de solution en x dans I'anneau des entiers modulo n 
et tel que : 

Tequatioa : 

x'' = g|^ mod n 

a des solutions en x dans Tanneau des entiers modulo n . 

Ledit precede met en oeuvre selon les etapes ci-apres definies une entite 

appelee temoin, Cette entite dispose des f facteurs premiers pj et/ou des 



parametres des restes chinois des facteurs premiers et/ou du module public 
n et/ou des m valeurs privees Qi et/ou des f.m composantes Qi^ j {Q^ j = Qj 
mod pj) des valeurs privees QjCt de Texposant public v , 
Le temoin calcule des engagements R dans Tanneau des entiers modulo n. 
Chaque engagement est calcule : 

• soit en effectuant des operations du type 

R = r'' mod n 
ou rest un alea tel que 0 < r < n, 

• soit 

en effectuant des operations du type 
Ri = Filmed Pi 

ou Fj est un alea associe au nombre premier P| tel que 0 < < p; , chaque Fj 
appartenant a vme collection d'aleas {f^ , Fj , ... fJ , 

•• puis en appliquant la methode des restes chinois. 
Le temoin revolt un ou plusieurs defis d. Chaque defi d comporte m entiers 
d; ci-apres appeles defis elementaires. Le temoin calcule a partir de chaque 
defi d ime reponse D, 

• soit en effectuant des operations du type : 

D = F . Q/^ Q„ ^"mod n 

• soit 

•• en effectuant des operations du type : 

Di = . Qi,, . Qi,2 ... Qi,n» mod p, 
•• puis en appliquant la methode des restes chinois. 
Ledit precede est tel qu*il y a autant de reponses D que de defis d que 
d'engagements R. Chaque groupe de nombres R, d, D constitue un triplet 
note {R, d, D}. 

Gas de la pFeuve de I'authenticite d'une entite 
Dans une premiere variante de realisation le precede selon I'invention est 
destine a prouver I'authenticite d'une entite appelee demonstrateur a une 



entite appelee controleur. Ladite entite demonstrateur comprend le temoin, 
Lesdites entites demonstrateur et controleur executent les etapes 
suivantes: 

• etape 1 : acte d'engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specific ci-dessus. Le demonstrateur transmet au controleur tout 
ou partie de chaque engagement R. 

• etape 2 : acte de defi d 

Le controleur, apres avoir regu tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d' engagements R et 
transmet les defis d au demonstrateur. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific ci-dessus. 

• etape 4 : acte de contrdle 

Le demonstrateur transmet chaque reponse D au controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 

engagement R 

Dans le cas ou le demonstrateui a transmis une partie de chaque 
engagement R, le controleur, disposant des m valours publiques G^, Gj, ... 
G^, calcule a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a une relation du type : 

R' = Gi • G2 ^. ... G„ . mod n 
ou a une relation du type, 

R' = DV G/^ G2 G^ • mod n , 
Le controleur verifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R qui lid a ete transmis, 
Deuxieme cas : le demonstrateur a transmis Pintegralite de chaque 
engagement R 



Dans le cas ou le demonstrateiir a transmis Tintegralite de chaque 
engagement R, le controleur, disposant des m valeixrs publiques Gj, Gj, ... 
Gnj, verifie que chaque engagement R satisfait a ime relation du type : 

R = Gi ^^G^ ^....G^'^^.D^modn 
ou a une relation du type, 

RsDVG/^ Gj ... G„ ^"^ . mod n . 
Cas de la preuve de I'integrite d'un message 
Dans une deuxieme variante de realisation susceptible d'etre combinee 
avec la premiere, le procede selon T invention est destine a prouver a une 
entite appelee controleur I'integrite d'un message M associe a xme entite 
appelee demonstrateur. Ladite entite demonstrateur comprend le temoin. 
Lesdites entites demonstrateur et controleur executent les etapes 
suivantes: 

• etape 1 : acte d'engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specific ci-dessus. 

• etape 2 : acte de defi d 

Le demonstrateur applique une fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins xm jeton T. Le demonstrateur transmet le jeton T au 
controleur. Le controleur, apres avoir re^u \m jeton T, produit des defis d 
en nombre egal au nombre d'engagements R et transmet les defis d au 
demonstrateur. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific ci-dessus. 

• etape 4 : acte de contrdle 

Le demonstrateur transmet chaque reponse D au controleur. Le controleur, 
disposant des m valeurs publiques Gj, Gj, ... G^, calcule a partir de chaque 



defi d et de chaque reponse D un engagement reconstruit R' satisfaisant a 
une relation du type : 

= Gi ^^ G2 ... . mod n 

ou a une relation du type : 

R' = DVG/\G2'^^...G„*". modn 
Puis le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T'. Puis le controleur verifie que le 
jeton T' est identique au jeton T transmis. 

Signature numetique d'un message et preuve de son authenticite 
Dans une troisieme variante de realisation susceptible d^etre combinee aux 
deux precedentes, le procede selon T invention 1 est destine a produire la 
signature niraierique d'un message M par une entite appelee entite 
signataire. Ladite entite signataire comprend le temoin. 
Operation de signature 

Ladite entite signataire execute ime operation de signature en vue 
d'obtenir xm message signe comprenant : 

- le message 

- les defis d et/ou les engagements R, 

- les reponses D. 

Ladite entite signataire execute Toperation de signature en mettant en 
oeuvre les etapes suivantes ; 

• etape 1 : acte d'engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specific ci-dessus. 

• etape 2 : acte de defi d 

Le signataire applique ime fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire. Le 
signataire extrait de ce train binaire des defis d en nombre egal au nombre 



d'engagements R. 

• etape 3 : acte de reponse J> 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific ci-dessus. 
5 Operation de contrdle 

Pour prouver Tauthenticite du message M, une entite, appelee controleur, 
controle le message signe. Ladite entite controleur disposant du message 
signe execute une operation de controle en procedant comme suit. 
• cas ou le controleur dispose des engagements R, des defis d, des 
10 reponses D, 

Dans le cas ou le controleur dispose des engagements R, des defis d, des 
reponses D le controleur verifie que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = G/* . G2 ^. . . . G„ . mod n 
15 OU a des relations du type : 

R = DVGi ''*.G2'". ...G^**"". modn 
Puis le controleur verifie que le message M, les defis d et les engagements 
R satisfont a la fonction de hachage 

d = h (message, R) 
20 • cas oil le controleur dispose des defis d et des reponses D 

Dans le cas ou le controleur dispose des defis d et des reponses D, le 
controleur reconstruit, a partir de chaque defi d et de chaque reponse D, 
des engagements R' satisfaisant a des relations du type : 
R' ^ G/^ Gj • . . G^ . mod n 
25 OU a des relations du type : 

R' = DVG/^G2^...-G„^. modn 
Puis le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 

d = h (message, R') 



• cas oil le controleur dispose des engagements R et des reponses D 

Dans le cas ou le controleur dispose des engagements R et des reponses D, 
le controleur applique la fonction de hachage et reconstruit d' 

d' = h (message, R) 
Puis, controleur verifie que les engagements R, les defis d' et les reponses 
D, satisfont a des relations du type : 

R = G, ^'^ . G2 ... G„ ^ . mod n 
ou a des relations du type : 

R = DVG/^G2^^...G^^'-. modn 
Systeme 

La presente invention conceme egalement un systeme destine a prouver a 
im serveur controleur, 

- Tauthenticite d'une entite et/ou 

- rintegrite d'un message M associe a cette entite, 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q2, ... Q„, et publiques G^, Gj, ... 
G^ (m etanl superieur ou egal a 1), 

- un'mbdule public n constitue par le produit de f facteurs premiers Pj, 
P2, ... Pf (f etant superieur ou egal a 2), 

- un exposant public v ; 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

^i^Qi" - 1 • ™od n ou Gj = Qi^mod n . 
Ledit exposant v est tel que 

v = 2^ 

ou k est un parametre de securite plus grand que 1 . 

Ladite valexir publique G| est le carre gj^ d'lm nombre de base g. inferieur 
aux f facteurs premiers Pi, P2, ... Pf . Le nombre de base g. est tel que : 
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les deux equations : 

= gi mod n. at = - giinod n 
n'ont pas de solution en x dans I'anneau des entiers modulo n 
et tel que : 

r equation : 

= g,^ mod n 

a des solutions en x dans Tanneau des entiers modulo n . 
Ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'vme carte bancaire 
a microprocesseur. Le dispositif temoin comporte xine zone memoire 
contenant les f facteurs premiers P| et/ou les parametres des restes chinois 
des facteurs premiers et/ou le module public n ct/on les m valeurs privees Q; 
et/ou les tm composantes j (Q^ j = Qj mod pj) des valexu^ privees Qi et 
I'exposant public v . Ledit dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-aprds designes les moyens de calcul des 
engagements R du dispositif temoiii|-; 

Les moyens de calcul permettent de calculer des engagements R dans 
I'anneau des entiers modulo n . Chaque engagement est calcxile : 
• soit en effectuant des operations du type 

R = mod n 

ou r est un alea produit par les moyens de production d'aleas, r etant tel 
que 0<r<n, 

• soit en effectuant des operations du type 
Ri = rj^modpi 

oil rj est un alea associe au nombre premier pj tel que 0 < rj < , chaque F; 
appartenant a une collection d'aleas {r^ , r2 > ••• ^f) produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois . 




Ledit dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir xin ou plusieurs defis d ; 
chaque defi d comportant m entiers dj ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci apres designes les moyens de calcnl des 
reponses D du dispositif temoin, pour calculer a partir de chaque d6fi d une 
reponse D, 

• soit en effectuant des operations du type : 

• soit en effectuant des operations du type : 

Di ^ . Q^, . Qi^ ^. . . . Q^^ ^ mod r, 
puis en appliquant la methode des restes chinois, 

Ledit dispositif temoin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
II y a autant de reponses D que de defis d que d'engagements R Chaque 
groupe de nombres R, d, D constitue un triplet note {R, d, D}. 

Cas de la preuve de rauthenticite d'une entity 
Dans une premiere variante de realisation le systeme selon Tinvention est 
destine a prouver Tauthenticite d'une entite appelee demonstrateur a une 
entite appelee controleur, 

Ledit systeme est tel qu'il comporte un dispositif demonstratexir associe a 
r entite demonstrateur. Ledit dispositif demonstrateur est interconnecte au 
dispositif temoin par des moyens d' interconnexion. II pent se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade, 
par exemple sous la forme d'lm microprocessexir dans xme carte bancaire a 
microprocesseur. 

Ledit systeme comporte aussi un dispositif controleur associe a T entite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'lm terminal ou d'un serveur distant. Ledit dispositif controleur comporte 



des moyens de connexion pour le connecter electriquement; 
electromagnetiquement, optiquement ou de maniere acoustique, 
notamment via iin reseau de commimication informatique, au dispositif 
demonstratexir ; 

Ledit systeme pennet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif temoin comporte des moyens de transmission^ ci- 
apres designes les moyens de transmission du dispositif temoin, poiir 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'intercormexion. Le dispositif 
demonstrateur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du demonstrateur, pour transmettre 
tout ou partie de chaque engagement R au dispositif controleur, via les 
moyens de connexion. 

• etape 2 : acte de defi d 

Le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir refu tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d' engagements R. Le dispositif 
controleur comporte aussi des moyens de transmission, ci-apres designes 
les moyens de transmission du controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 

• etape 3 ; acte de reponse D 

Les moyens de reception des defis d du dispositif temoia, resolvent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'intercormexion. Les moyens de calcul des reponses D du dispositif 
temoin, calculent les reponses D a partir des defis d en appliquant le 
processus specific ci-dessus. 



• etape 4 : acte de contrdle 

Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au controleur. Le dispositif controleur comporte aussi : 

- des moyens de calcul, ci-apres designes les moyens de calcxil du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou les moyens de transmission du demonstratexir ont transmis 
une partie de chaque engagement les moyens de calcul du dispositif 
controlexir, disposant des m valeurs publiques G^, Gj, ... G„, calculent a 
partir de chaque defi d et de chaque reponse D im engagement reconstruit 
satisfaisant a une relation du type : 

R' = Gi ^^ G2 . . . G„ . mod n 
ou a une relation du type, 

R' = DV Gi ^^ G2 ^. . . . G^ . mod n . 
Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstniit R' a tout ou partie de chaque engagement R re9u, 
Deuxieme cas : le demonstrateur a transmis Fintegralite de chaque 
engagement R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
rintegralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
Gi, G2, ... G^, verifient que chaque engagement R satisfait a ime relation 
du type : 

R = G/^ G2 '^^^ . . . G^ . mod n 
ou a ime relation du type, 

R = D V G/^ G2 ^. . . . G^ ^ . mod n , 
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Cas de la preuve de I'integrite d' 



un message. 



Dans une deuxieme variante de realisation susceptible d'etre combinee 
avec la premiere, le systeme selon T invention est destine a prouver a une 
entite appelee controleur Tintegrite d*un message M associe a une entite 
appelee demonstrateiir. Ledit systeme est tel qu*il comporte un dispositif 
demonstrateur associe a Tentite demonstrateur. Ledit dispositif 
demonstrateur est interconnecte au dispositif temoin par des moyens 
d'interconnexion. Ledit dispositif demonstrateur pent se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'lm microprocesseur dans une carte bancaire a 
microprocesseur. Ledit systeme comporte aussi dispositif controleur associe 
a r entite controleur. Ledit dispositif controleur se presente notamment 
sous la forme d'lm terminal ou d'xm serveur distant. Ledit dispositif 
contrSleur comporte des moyens de connexion pour le connecter 
electriquement; electromagnetiquement, optiquement ou de maniere 
acoustique, notamment via im reseau de communication informatique, au 
dispositif demonstrateur. 
Ledit systeme execute les etapes suivantesVT/^-^^ 

• etape 1 : acta d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. 

• etape 2 : acte de defi d 

Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du demonstrateur, appliquant une fonction 
de hachage h ayant comme arguments le message M et tout ou partie de 



chaque engagement pour calculer au moins xm jeton T. Le dispositif 
demonstrateur comporte aussi , des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif demonstratexxr, pour 
transmettre chaque jeton T, via les moyens de connexion, au dispositif 
controleur. Le dispositif controleur comporte aussi des moyens de 
production de defis pour produire, apr^s avoir refu le jeton T, des defis d 
en nombre egal au nombre d'engagements R. Le dispositif contrSleur 
comporte aussi des moyens de transmission, ci-apres designes les moyens 
de transmission du controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, refoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion. Les moyens de calcxd des reponses D du dispositif 
temoin, calculent les reponses D a partir des defis d en appliquant le 
processus specific ci-dessus. 

• etape 4 : acte de contrdle 

Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au controleur. Le dispositif controleur comporte aussi des 
moyens de calcul, ci-apres designes les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G^, Gj, ... G^ pour d'une 
part, calculer a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a une relation du type : 

R' = Gi ^^G2^....G„**™.D"modn 
ou a ime relation du type : 

R' = DVG/\G,^....G^^. modn 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R% im jeton T'. 
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Le dispositif controleur comporte axissi des moyens de comparaison, ci- 
apres designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton calcule au jeton T re9U. 

Signature numerique d'un message et preuve de son authenticite 
Dans une troisieme variante de realisation susceptible d'etre combinee 
avec Time et/ou T autre des deux premieres, le systeme selon 1' invention 
est destine a prouver la signature nimi6rique d'un message M, ci-apres 
designe le message signe, par une entite appelee entite signataire. 
Le message signe comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 
Operation de signature 

Ledit systeme est tel qu'il comporte un dispositif signataire associe a 
r entite signataire. Ledit dispositif signataire est interconnecte au dispositif 
temoin par des moyens d' interconnexion et peut se presenter notamment 
sous la forme de microcircuits logiques dans un objet nomade par exemple 

sous la forme d'uri microprocesseur dans une carte bancaire a 
microprocesseur. 

Ledit systeme permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d* interconnexion. 

• etape 2 : acte de defi d 



Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant xrne fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d'engagements R. 

• etape 3 : acte de r^ponse D 
Les moyens de reception des defis d du dispositif temoin, refoivent chaque 
defi d provenant du dispositif signataire, via les moyens d' interconnexion, 
Les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specific ci- 
dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d' interconnexion. 
Operation de contrdle 

Pour prouver I'authenticite du message M, ime entite appelee controleur, 
controle le message signe. 

Ledit systeme comporte un dispositif controlexir associe a T entite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant Ledit dispositif controleur comporte 
des moyens de connexion pour le cormecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, 
notamment via un reseau de commimication informatique, au dispositif 
signataire, 

Le dispositif signataire associe a T entite signataire comporte des moyens 
de transmission, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion. Ainsi, le dispositif controleur dispose d'un 
message signe comprenant : 
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- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

Le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

• cas ou le dispositif controleur dispose des engagements des defis d, 
des reponses D, 

Dans le cas ou le dispositif controleur dispose des engagements des 
defis d, des reponses D, les moyens de calcul et de comparaison du 
dispositif controleur verifient que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = Gi ^^G2*^..-G^^-D" modn 
ou a des relations du type : 

R = DVG/^G2^.•..G„'''"• modn 
Puis, les moyens de calcul et de compajaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h (message, R) 

• cas ou le dispositif controleur dispose des defis d et des reponses D 

Dans le cas ou le dispositif controleur dispose des defis d et des reponses 
D, les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R' = G/^ G^ ^. . . . G^ . mod n 
ou a des relations du type : 

R' = DVG/^G2^. ...G^^. modn 



Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = h (message, R') 
• cas ou le dispositif controleur dispose des engagements R et des 
reponses D 

Dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = li (message, R) 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = Gi ^'^ . G2 ... G„ ^'"^ . mod n 
ou a des relations du type : 

R = DV Gj • G2 ""'K ... G„ ^'"^ . mod n 
Dispositif Terminal 
L'invention conceme aussi un dispositif terminal associe a ime entite. Le 
dispositif terminal se presente notamment sous la fomie d'xm objet nomade 
par exemple sous la forme d'une carte bancaire a microprocessexn. Le 
dispositif teraiinal est destin^ a prouver a xm dispositif controleur : 

- I'authenticite de Tentite et/ou 

- rintegrite d'lm message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q^, Q25 ... et publiques Gj, Gj, ... 
G^ (m etant superieur ou egal a 1), 

- xm modide public n constitue par le prodxiit de f facteurs premiers pj, 
P25 ... Pf (f etant superieur ou egal a 2), 

- vm exposant public v . 



Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

G| . Qi^ = 1 • mod n ou Gj = Qi^'mod n . 
Ledit exposant V est tel que 

ou k est un parametre de securite plus grand que 1 . 

Ladite valeur publique G, est le carre d'un nombre de base g, inferieur 
aux f facteurs premiers Pi, P25 Pf • nombre de base est tel que : 

les deux equations : 

= gi mod n et s - g. mod n 
n'ont pas de solution en x dans I'aimeau des entiers modulo n 
et tel que : 

r equation : 

x^ = gi^ mod n 

a des solutions en x dans I'anneau des entiers modulo n . 

Ledit dispositif terminal comprend im dispositif temoin comportant une 

zone memoire contenant les f facteurs premiers Pi et/ou les parametres des 

restcs chinois des facteurs premiers et/ou le module public n et/ou les m 

valeurs privees Q; et/ou les f.m composantes Qi^ j (Qi^ j ^ Qj mod pj) des 

valeurs privees Q; et T exposant public v . 

Ledit dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
Tanneau des entiers modulo n . 

Chaque engagement est calcule : 

• soit en effectuant des operations du type 

R = r^mod n 



ou r est un alea produit par les moyens de production d'aleas, r etant tel 
queO<r<ii, 

• soit en effectuant des operations du type 

Rj^rj^'mod pj 

ou F; est un alea associe au nombre premier pj tel que 0 < < pj , chaque Fj 
appartenant a une collection d'aleas {r^ , , ... rj produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois. 
Le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir im ou plusieurs defis d ; 
chaque defi d comportant m entiers dj ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D, 

• soit en effectuant des operations du type : 

D = r • Q/^ Q2 ^. . . . ^"^ mod n 

• soit en effectuant des operations du type : 

^ r. . Qj , . Q. 2 « ... ^ ^ mod 

puis en appliquant la methode des restes chinois. 

Ledit dispositif temoin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
II y a autant de reponses D que de defis d que d' engagements R- Chaque 
groupe de nombres R, d, D constituant im triplet note {R, d, D}. 

Cas de la preuve de Tauthenticite d'une entite 
Dans une premiere variante de realisation le dispositif terminal selon 
rinvention est destine a prouver Tauthenticite d'lme entite appelee 
demonstratexir a ime entite appelee controleur. 

Ledit dispositif terminal est tel qu*il comporte im dispositif demonstrateur 
associe a 1' entite demonstrateur. Ledit dispositif demonstrateur est 
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interconnecte au dispositif texnoin par des moyens d' interconnexion. II 
peut se presenter notamment soiis la forme de microcircuits logiques dans 
un objet nomade par exemple sons la forme d'un microprocessevir dans vne 
carte bancaire a microprocessem". 

Ledit dispositif demonstrateur comporte aussi des moyens de connexion 
pour le connecter electriquement, electromagnetiquement, optiquement ou 
de maniere acoustique, notamment via un reseau de communication 
infonnatique, au dispositif controleur associe a Tentite controlexxr. Ledit 
dispositif controlexir se presente notamment sous la forme d'un terminal ou 
d'un serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de ch;?.S7-^e engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion. Le dispositif demonstrateur comporte aussi des 
moyens de transmission, ci-apres designes les moyens de transmission du 
demonstrateur, pour transmettre tout ou partie de chaque engagement R au 
dispositif controleur, via les moyens de connexion, 

• etapes 2 et 3 : acte de defi d, acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, refoivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion 
entre le dispositif controleur et le dispositif demonstrateiu- et via les moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de calcid des reponses D du dispositif temoin, calcxilent les 
reponses D a partir des defis d en appliquant le processus specifie ci- 




dessus- 

• etape 4 : acte de controle 

Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au dispositif controlevir qui precede au controle. 

Cas de la preuve de rintegrite d'un message 
Dans une dexixieme variante de realisation susceptible d'etre combinee a la 
premiere, le dispositif terminal selon Tinvention est destine a prouver a une 
entite appelee controleur Tintegrite d'un message M associe a une entite 
appelee demonstrateur. Ledit dispositif teraiinal est tel qu'il comporte un 
dispositif demonstrateur associe a T entite demonstrateur, ledit dispositif 
demonstrateur est interconnecte au dispositif temoin par des moyens 
d'intercormexion. H peut se presenter notamment sous la forme de 
microcircuits logiques dans im objet nomade par exemple sous la forme 
d'xm microprocesseur dans une carte bancaire a microprocesseur. Ledit 
dispositif demonstrateur comporte des moyens de coimexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, au dispositif controleur associe a I'entite controleur. Ledit 
dispositif controleur se presente notamment sous la forme d'un terminal ou 
d'un servevu- distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. 

• etapes 2 et 3 : acte de defi d, acte de reponse D 



Le dispositif demonstrateur comporte des moyens de calcxil, ci-apres 
designes les moyens de calcul du demonstrateur, appliquant ime fonction 
de hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, poxir calculer au moins un jeton T. Le dispositif 
demonstrateur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif demonstrateur, pour 
transmettre chaque jeton T, via les moyens de connexion, au dispositif 
controleur. 

Ledit dispositif controleur produit, apres avoir regu le jeton T, des defis d 
en nombre egal au nombre d'engagements R. 

Les moyens de reception des defis d du dispositif temoin, re9oivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion 
entre le dispositif controleur et le dispositif demonstrateur et via les moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specific ci- 
dessus. 

• etape 4 : acte de controle 
Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au dispositif controleur qui procede au controle. 

Signature numerique d'un message et preuve de son authenticity 
Dans xme troisieme variante de realisation susceptible d'etre combinee 
avec Tune ou I'autre des deux premieres, le dispositif terminal selon 
rinvention est destine a produire la signature numerique d'un message M, 
ci-apres designe le message signe, par ime entite appelee entite signataire. 
Le message signe comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D. 



Ledit dispositif terminal est tel qu'il comporte un dispositif signataire 
associe a I'entite signataire. Ledit dispositif signataire est interconnecte au 
dispositif temoin par des moyens d' interconnexion. II peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans ime carte bancaire a 
microprocessexir. Ledit dispositif signataire comporte des moyens de 
coimexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
conunimication informatique, au dispositif controleur associe a Tentite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. 
Operation de signature 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou panie de chaque engagement R au dispositif signataire, 
via les moyens d'interconnexion. 

• etape 2 : acte de defi d 

Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant ime fonction de 
hachage h ayant conrnie argxmaents le message M et tout ou partie de 
chaque engagement R, pour calculer im train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d' engagements R. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d du dispositif temoin resolvent chaque 
defi d provenant du dispositif signataire, via les moyens d'interconnexion. 
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Les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processxis specific ci- 
dessus, Le dispositif temoin comporte des moyens de transn[iission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D an dispositif signataire, via les moyens d* interconnexion. 

Dispositif contrdleur 
L' invention conceme aussi xm dispositif controleur. Le dispositif 
contrdleur peut se presenter notamment sous la forme d'un terminal ou 
d'lm serveur distant associe a une entite controleur. Le dispositif 
controleur est destine a controler : 

- Tauthenticite d'lme entite et^ou 

- rintegrite d'lm message M associe a cette entite, 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valexirs publiques Gi, Gj, ... G^, (m etant superieur ou 
egal a 1), 

- un module public n constitue par le produit de f facteurs premiers Pi, 

P25 Pf ^^^^^ superieur ou egal a 2) inconnus du dispositif controleur et 
de Tentite controleur associe, 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

Gi. Qi'' = 1 , mod n ou Gj^Qi'^mod n ; 
ou Qi designe une valeur privee, inconnue du dispositif controlexir, 
associee a la valeur publique G, - 
L'exposant v est tel que 

ou k est un parametre de securite plus grand que 1. 

Ladite valeur publique G; est le carre g-^ d'un nombre de base & inf6rieur 
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aux f facteurs premiers P|, P29 ... Pf . Le nombre de base est tel que : 

les deux equations : 

s giinod n et = - gjinod n 
n'ont pas de solution en x dans I'anneau des entiers modulo n 
et tel que : 

I'equation : 

= gi^ mod n 

a des solutions en x dans I'anneau des entiers modulo n . 

Cas de la preuve de Tauthenticite d'une entity 
Dans ime premiere variante de realisation le dispositif controleur selon 
rinvention est destine a prouver Tauthenticite d'lme entite appelee 
demonstrateur a ime entite appelee contrdlexir. 

Ledit dispositif controleiu- comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associee a T entite 
demonstrateur. 

Ledit dispositif controleur permet d'executer les etapes suivantes : 

• etapes 1 et 2 : acte d'engagement R, acte de defi d 
Ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion. 

Le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir re^u tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d'engagements R, chaque defi d 
comportant m entiers dj ci-apres appeles defis elementaires. 
Le dispositif controlexir comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du controleur, pour transmettre 
les defis d au demonstrateur, via les moyens de connexion. 



• etapes 3 et 4 : acte de reponse D, acte de controle 

Ledit dispositif controleur comporte aussi : 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion 

- des moyens de calcxil, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont re^us 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques Gj, Gj, ... G^, calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a xme relation du type : 

R' = G/* . G2 ^. . . . G„ . mod n 
ou a une relation du type, 

R' - DV G/^ G2 . . . G„, """^ . mod n , 
Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re^u^ 
Deuxieme cas : le demonstrateur a transmis ^integrality de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controlem* ont regus 
I'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
Gi, G2, ... Gn,, verifient que chaque engagement R satisfait a une relation 
du type : 

R = Gi . G2 ^. ... G^ ^ . mod n 

ou a xme relation du type. 
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R = DVG/^ G2 ^. ... . mod n . 

Cas de la preuve de rintegrite d'un message 

Dans une deuxieme variante de realisation susceptible d'etre combinee 
avec la premiere, le dispositif controleur selon Tinvention est destine a 
prouver I'integrite d'un message M associe a une entite appelee 
demonstrateur. 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de conmnmication 
informatique, a im dispositif demonstrateiu: associee a Tentite 
demonstrateur. 

Ledit dispositif controleur permet d'executer les etapes suivantes : 

• etapes 1 et 2 : acte d'engagement R, acte de defi d 

Ledit dispositif controleur comporte aussi des moyens de reception de 
jetons T provenant du dispositif demonstrateur, via les moyens de 
connexion. Le dispositif controleur comporte des moyens de production 
de defis pour produire, apres avoir re9u le jeton T, des defis d en nombre 
egal au nombre d'engagements R, chaque defi d comportant m entiers d| 
ci-apres appeles defis elementaires. Le dispositif controleur comporte aussi 
des moyens de transmission, ci-apres designes les moyens de transmission 
du controleur, pour transmettre les defis d au demonstrateur, via les moyens 
de connexion. 

• etapes 3 et 4 : acte de reponse D, acte de contrdle 

Ledit dispositif controleur comporte des moyens de reception des reponses 
D provenant du dispositif demonstrateur, via les moyens de connexion. 
Ledit dispositif controleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
valeurs publiques Gj, Gj, ... G^, pour d'lme part, calculer a partir de 
chaque defi d et de chaque reponse D im engagement reconstmit R' 




satisfaisant a une relation du type : 

R' = G/^ G2/^. ...G^'^.W mod n 
ou a xine relation du type : 

R' = D^/G, '*^G2*"•••.G„^. modn 
puis d' autre part, calculer en appliquant une fonction de hachage h ay ant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R% xm jeton T\ 

Le dispositif controleur comporte aussi des moyens de comparaison, ci- 
apres designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton calcule au jeton T re9u. 

Signature numerique d'un message et preuve de son authenticity 
Dans xme troisieme variante de realisation susceptible d'etre combinee 
avec rune et/ou Tautre des deux premieres, le dispositif controlexor selon 
rinvention est destine a prouver Tauthenticite du message M en 
controlant, par ime entite appelee controleur, un message signe. 
Le message signe, emis par im dispositif signataire associe a une entite 
signataire disposant d'une fonction de hachage h (message, R), comprend: 




- des defis d et/ou des engagements R, 

- des reponses D ; 
Operation de controle 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de commimication 
informatique, a un dispositif signataire associee a Tentite signataire. Ledit 
dispositif controleur re^oit le message signe du dispositif signataire, via les 
moyens de connexion, 
Le dispositif controlexu- comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
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dispositif control^ur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controlenr. 

• cas ou le dispositif contrdleur dispose des engagements R, des defis d, 
des reponses D, 

Dans le cas ou le dispositif controleur dispose des engagements R, des 
defis d, des reponses D, les moyens de calcul et de comparaison du 
dispositif controleur verifient que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = G, ^^G2^.•..G^^.D^modn 
ou a des relations du type : 

R = DVG/^G2^....G„^'". modn 

Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage : 

d = h (message, R) 

• cas ou le dispositif controleur dispose des defis d et des reponses D 

Dans le cas ou le dispositif controleur dispose des defis d et des reponses 
D, les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R' = Gi . G2 ^. . . . G^ . mod n 
ou a des relations du type : 

R'^DVG/\G/^,..G^'^. modn 
puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = h (message, R') 

• cas oil le dispositif controleur dispose des engagements R et des 
reponses D 



Dans le cas on le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calciil du dispositif controlexir appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (message, R) 

5 Puis, les moyens de calcul et de comparaison du dispositif controleur 

verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = Gi ^'^ . G2 ' G„ . mod n 
ou a des relations du type : 

0 R = DV G/'* . G2 ^ ^ ... G^ ^ ^ . mod n 



Description 

Rappelons I'objectif de la technologic GQ : Tauthentification dynamique 
d'entites et de messages associes, ainsi que la signature numerique de 
messages. 

La version classique de la technologie GQ fait appel a la technologic RSA. 
Mais, si la technologic RSA depend bel et bien de la factorisation, cette 
d^pendance n'est pas une equivalence, loin s'en faut, comme le demontrent 
les attaques dites « multiplicatives » centre diverses normes de signature 
numerique mettant en ceuvre la technologie RSA. 

Dans le cadre de la technologie GQ2, la pr6sente partie de I'invention porte 
plus precisement sur rutilisation des ieux de cles G02 dans le cadre de 
I'authentification dynamique et de la signature numerique. La technologie 
GQ2 ne fait pas appel a la technologic RSA. L'objectif est double : d'une 
part, ameliorcr les performances par rapport a la technologie RSA ; d'autre 
part, eviter les problemes inherents a la technologie RSA. La cle privee 
GQ2 est la factorisation du module n. Toute attaque au niveau de striplets 
GQ2 se ramene a la factorisation du module w : il y a cette fois equivalence. 
Avec la technologie GQ2, la charge de travail est reduite, tant pour I'entite 
qui signe ou qui s'authentifie que pour celle qui controle. Grace a un 
meilleur usage du probleme de la factorisation, tant en securite qu'en 
performance, la technologie GQ2 concurrence la technologie RSA. 
La technologie GQ2 utilise un ou plusieurs petits nombres entiers plus 
grands que 1, disons m petits nombres entiers (m ^ 1) appeles « nombres dc 
base » et notes par g.. Les nombres de base etant fixes de g, k g^ avec m > 1, 
une cle publique de verification <v, n) est choisie de la maniere suivante. 
L'exposant public de verification v est 2* oii k est un petit nombre entier 
plus grand que 1 (k > 2). Le module public n est le produit d'au moins deux 
facteurs premiers plus grands que les nombres de base, disons / facteurs 
premiers {f> 2) notes par de p. . . . Pj. Les/facteurs premiers sont choisis 



de fa^on a ce que le module public n ait les proprietes suivantes par rapport 
a chacun des m nombres de base de g^ a g^. 

- D'une part, les Equations (1) et (2) n'ont pas de solution en x dans 
I'anneau des entiers modulo n, c'est-a-dire que g, et -g, sont deux residus 
non quadratiques (mod n). 

x'^ = gi {modi n) (1) 
:c'=-g, (mod /i) (2) 

- D'autre part, I'^quation (3) a des solutions en x dans I'anneau des entiers 
modulo n. 

x^* = gf (mod n) (3) 
La cl6 publique de verification <v, n> etant fix6e selon les nombres de base 
de g^ a g„ avec m > 1, chaque nombre de base g, determine im couple de 
valeurs GQ2 comprenant ime valeur publique G, et une valeur privee Q, : 
soit m couples notes de G, Q, k G„ Q„. La valeur publique G. est le carre du 
nombre de base g^ : soit = g^. La valeur priv6e Q, est vme des solutions a 
Tequation (3) ou bien I'inverse (mod ri) d'lme telle solution. 
De meme que le module n se decompose en / facteurs premiers, I'anneau 
des entiers modulo n se decompose en / corps de Galois, de CG{p) a 
CG{p). Voici les projections des equations (1), (2) et (3) dans CG(p,). 
=gi (mod pj) (l.a) 

=gf Pj) (3 .a) 

Chaque valeiu" privee Q, pent se representor de manidre unique par / 
composantes privees, ime par facteur premier : = (mod p). Chaque 
composante privee Qy est une solution a I'equation (3 .a) ou bien I'inverse 
(mod p) d'une telle solution. Apres que toutes les solutions possibles k 
chaque equation (3. a) aient ete calculees, la technique des restes chinois 
peimet d'etablir toutes les valeurs possibles pour chaque valeur privee Q, k 
paitir de/ composantes de ^ a Q,y. Q, = Restes Chinois (2,,, ^.j, ... QJ 
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de maniere a obtenir toutes les solutions possibles a I'equation (3). 
Voici la technique des testes chinois : soient deux nombres entiers positifs 
premiers entre eux c et 6 tels que 0 < a < fe, et deux composantes X^deOa 
a-1 et X^dcO klh-l \ il s'agit de determiner X= Restes Chinois (X^, X^), 
c'est-^-dire, le nombre unique Xde 0 a a.b-l tel que X^=X(moda) et 
X^sX(modb). Voici le param^tre des restes chinois : a s {Z> (mod a)}'' 
(mod a). Voici Toperation des restes chinois :e = X^ (mod a) ,5= X^-e ; si 
5 est negatif, remplacer 5 par S+a ; 7 s a . 5 (mod a);X=y .b+X^. 
Lorsque les facteurs premiers sont ranges dans I'ordre croissant, du plus 
petit /7, au plus grand Pj, les param^tres des restes chinois peuvent etre les 
suivants (il y en a/-l, c'est-a-diie, un de moins que de facteurs premiers). 
Le premier param^tre des restes chinois esta= {p^ (mod/?,)}'' (mod/?,). Le 
second parametre des restes chinois est P s {p^.p^ (mod/?,)}"' (mod/?,). Le i 
ieme parametre des restes chinois est A, = {Pi-Pj- --Pi^x (mod/?,))"' (mod/?,). 
Et ainsi de suite. Ensuite, en f-\ operations des restes chinois, on etablit un 
premier resultat (mod /?j fois /?,) avec le premier parametre, puis, un second 
resultat (mod/?,./?^ fois /?,) avec le second parametre, et ainsi de suite, 
jusqu'a un resultat (mod /?,.... /?y_, fois;?^), c'est-a-dire, (mod n). 
11 y a plusieurs representations possibles de la cle privee GQ2, ce qui traduit 
le polymorphisme de la cle priv6e GQ2. Les diverses representations 
s'averent equivalentes : elles se ramenent toutes h. la connaissance de la 
factorisation du module n qui est la veritable cle privee GQ2. Si_Ja 
representation affecte bien le co m portement de Tentite qui signe ou qui 
s^authentifie. elle nWecte pas le comporteme nt de Tentite qui controle. 
Voici les trois principales representations possibles de la cle privee GQ2. 
n La representation classiaue en technoloeie GO consiste a stocker m 
valeurs privees Q, et la cle publique de verification <v, «> ; en techiiologie 
GQ2, cette representation est concurrencee par les deux suivantes. 2) La 
representatioTi np timale en termes d e charges de travail consiste k stocker 



Texposant public, v, les /facteurs premiers /t^^ mj composantes privees et 
/-I parametres des restes chinois. 3) La representation optimale en termes 
de taille de cle privee consiste a stocker Texposant public v, les m nombres 
de base et les/ facteurs premiers /t^, puis, a commencer chaque utilisation 
en etablissant ou bien m valeurs privees et le module n pour se ramener a 
la premiere representation, ou bien m/ composantes privees et f-X 
parametres des restes chinois pour se ramener a la seconde. 
Les entites qui signent ou s'authentifient peuvent toutes utiliser les memes 
nombres de base ; sauf contre indication, les m nombres de base de a g^ 
peuvent alors avantageusement etre les m premiers nombres premiers. 
Parce que la securite du mecanisme d'authentification dynamique ou de 
signature numerique equivaut a la connaissance d'une decomposition du 
module, la technologic GQ2 ne permet pas de distinguer simplement deux 
entites utilisant le meme module. Generalement, chaque entite qui 
s'authentifie ou signe dispose de son propre module GQ2. Toutefois, on 
peut specifier des modules GQ2 a quatre facteurs premiers dont deux sont 
connus d'lme entit6 et les deux autres d'lme autre. 

Voici un premier jeu de cles G02 avec A- = 6, soit v = 64, m == 3, soit trois 
nombres de base : = 3, = 5 et = 7, et / - 3, soit un module a trois 
facteurs premiers : deux congrus a 3 (mod 4) et un a 5 (mod 8). Notons que 
g = 2 est incompatible avec im facteur premier congru a 5 (mod 8). 
= 03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833 
= 0583B097E8D8D777BAB3874F2E76659BB614F985EC1B 
= 0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 
n ^p^ ,p^ .p, = FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9 
02CC00EAFEE1B957F3BDC49BE9CBD4D94467B72AF28CFBB26144 
CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD 
O = 0279C60D2 1 6696CD6F7526E235 1 2D AE090CFF879FDDE 
O = 7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89 



g,., = 6FB3B9C05A03D7CADA9A3425571EF5ECC54D7A7B6F 
g,^ = 0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 
Q^^ = 04792CE70284D16E9A158C688A7B3FEAF9C40056469E 
= FDC4A8E53E185A4BA793E93BEE5C636DA731BDCA4E 
= 07BC1 AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE 
0„ = OAE8551E1 16A3AC089566DFDB3AE003CF174FC4E4877 
O = 01682D490041913A4EA5B80D16B685E4A6DD88070501 

^3,3 

= D7E1CAF28192CED6549FF457708D50A7481572DD5F2C335D8 
C69E22521B510B64454FB7A19AEC8D06985558E764C6991B05FC2A 

C74D9743435AB4D7CF0FF6557 

= CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 

DB17563B9B3DC582D5271949F3DBA5A70C108F561A274405A5CB8 
82288273 ADE67353 A5BC3 16C093 

Q, = 09AA6F4930E51A70CCDFA77442B10770DD1CD77490E3398A 
AD9DC50249C343 1 291 5E559 1 7A1 ED4D83 AA3D607E3EB5C8B 1 97 
69723 853 7FE7A0 1 95C5E83 73 EB74D 

Voici un second jeu de cl6s GQ2, avec = 9, soit v = 512, w = 2, soit deux 
norabres de base : ^, = 2 et = 3, et/= 3, soit un module a trois facteurs 

premiers congrus a 3 (mod 4). 

= 03852103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB 
p, = 062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7 
p, = OBCADEC219F1DFBB8AB5FE808A0FFCB53458284ED8E3 
n =Pt ■P2 .i73 = FFFF5401ECD9E537F167A80C0A9111986F7A8EBA4D 
6698AD68FF670DE5D9D77DFF00716DC7539F7CBBCF969E73A0C49 

761B276A8E6B6977A21D51669D039F1D7 

O = 0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1 

O = 0326C12FC7991ECDC9BB8D7C1C4501BE1BAE9485300E 

^2,1 

Q,^ = 02D0B4CC95A2DD435D0E22BFBB29C59418306F6CD00A 
Q = 045ECB881387582E7C556887784D2671CA1 18E22FCF2 



= B0C2R1F808D24F6376E3A534EB555EF54E6AEF5982 
g„ = 0AB9F81DF462F58A52D937E6D81F48FFA4A87A9935AB 
e, = 27F7B9FC82C19ACAE47F3FE9560C3536A7E90F8C3C51E13C 
35F32FD8C6823DF753685DD63555D2146FCDB9B28DA367327DD6 

EDD A092D0CF 1 08DOAB708405D A46 

= 230D0B9595E5AD388F1F447A69918905EBFB05910582E5BA64 
9C94B0B2661E49DF3C9B42FEF1F37A7909B1C2DD54113ACF87C6 
F 1 1 F 1 9874DE7DC5D 1 DF2A9252D 
Authentification dynamique 

Le mecanisme d'authentification dynamique est destine a prouver a une 
entite appelee controleur I'authenticite d'une autre entite appelee 
d^monstrateur ainsi que I'authenticite d'un 6ventuel message associ6 A/, 
de sorte que le controleur s'assure qu'il s'agit bien du demonstrateur et 
6ventuellement que lui et le demonstrateur parlent bien du mSme message 
M. Le message associe Mest optionnel, ce qui signifie qu'il peut fitre vide. 
Le mecanisme d'authentification dynamique est une sequence de quatre 
actes : un acte d'engagement, un acte de defi, un acte de reponse et un acte 
de controle. Le demonstrateur joue les actes d'engagement et de reponse. 
Le controleur joue les actes de defi et de controle. 

Au sein du demonstrateur, on peut isoler un temoin, de manidre a isoler 
les parametres et les fonctions les plus sensibles du demonstrateur, c'est-a- 
dire, la production des engagements et des reponses. Le temoin dispose du 
parametre k et de la cl6 privee GQ2, c'est-^-dire, de la factorisation du 
module n selon Tune des trois representations evoquees ci-dessus : • les/ 
facteurs premiers et les m nombres de base, • les m./composantes privees, 
les/facteurs premiers et/-l parametres des restes chinois, • les m valeurs 
privees et le module n. 

Le temoin peut correspondre ^ vine realisation particuliere, par exemple, 
• une carte ^ puce reliee a un PC formant ensemble le d6monstrateur, ou 



encore, • des programmes particulierement proteges au sein d'un PC, ou 
encore, • des programmes particvdierement proteges au sein d'une carte a 
puce. Le temoin ainsi isol6 est semblable au temoin d6fmi ci-apres au sein 
du signataire. A chaque execution du mecanisme, le temoin produit un ou 
plusieurs engagements R, puis, autant de r6ponses D a autant de defis d. 
Chaque ensemble {R, d, D} constitue un triplet GQ2. 
Outre qu'il comprend le temoin, le demonstrateur dispose 6galement, le cas 
echeant, d'une fonction de hachage et d'un message M 
Le controleur dispose du module n et des parametres A: et m ; le cas echeant, 
il dispose 6galement de la meme fonction de hachage et d'un message M'. 
Le contrdleur est apte a reconstimer un engagement /?' h partir de n'importe 
quel d6fi d et de n'importe quelle reponse D. Les parametres A: et m 
renseignent le controleur. Faute d'indication contraire, les m nombres de 
base de g, a g„ sont les m premiers nombres premiers. Chaque d6fi d doit 
comporter m defis 616mentaires notes de d, & d„: un par nombre de base. 
Chaque defi elementaire de k d„ doit prendre une valeur de 0 a l*^'-! (les 
valeurs de v/2 a v^l ne sont pas utilisees), Typiquement, chaque defi est 
code par m fois k-l bits (et non pas m fois k bits). Par exemple, avec k = 6 
et m = 3 et les nombres de base 3, 5 el 7, chaque defi comporte 15 bits 
transmis sur deux octets ; avec A: = 9, m = 2 et les nombres de base 2 et 3, 
chaque defi comporte 16 bits transmis sur deux octets. Lorsque les (k-l).m 
defis possibles sont egalement probables, la valeur ik-l).m determine la 
securite apportee par chaque triplet GQ2 : un imposteur qui, par definition, 
ne connait pas la factorisation du module n a exactement une chance de 
succes sur 2'*'"". Lorsque (it-l).m vaut de 15 k 20, un triplet suffit a assurer 
raisonnablement I'authentification dynamique. Pour atteindre n'importe 
quel niveau de security, on pent produire des triplets en parall^le ; on pent 
egalement en produire en sequence, c'est-a-dire, repeter I'execution du 
mec£inisme. 



1) L'acte d'ehgagement comprend les operations suivantes. 
Lorsque le temoin dispose des m yaleurs privees de 0, a et du module /i, 
il tire au hasard et en priv^ un ou plusieurs aleas r (0 < r < n) ; puis, par k 
elevations successives au carte (mod n), il transforme chaque alea r en un 
engagement R. 

R = r^ (mod«) 
Voici un exemple ayec le premier jeu de cl^s avec k=6. 
r = B8AD426C1AC0165E94B894AC2437C1B1797EF562CFA53A4AF8 
43 1 3 1 FF 1 C89CFD A 1 3 1 207 1 947 1 OEF9C0 1 0E8F09C60D98 1 5 1 2 1 98 1 260 
9 1 9967C3E2FB4B4566088E 

R = FFDD736B666F41FB771776D9D50DB7CDF03F3D976471B25C56 
D3AF07BE692CB1FE4EE70FA77032BECD8411B813B4C21210C6B04 

49CC4292E5DD2BDB00828AF 1 8 

Lorsque le temoin dispose des / facteurs premiers de p, a Pjr et des m.f 
composantes privees il tire au hasard et en prive une ou plusieurs 
collections de / aleas : chaque collection comporte un al6a r, par facteur 
premier p, (0 < r. < p) ; puis, par k elevations successives au carre (mod/?,), 
il transforme chaque alea r. en une composante,|l^^ngagement R.. 

Ri^ry (modpif' 
Voici un exemple avec le second jeu de cles avec k=9. 
r, = B0418EABEBADF0553A28903F74472CD49EE8C82D86 

= 022B365F0BEA8E157E94A9DEB0512827FFD5149880F1 
r, = 75A8DA8FE0E60BD55D28A218E31347732339F1D667 

= 057E43A242C485FC20DEEF291C774CF1B30F0163DEC2 
r, = 0D74D2BDA5302CF8BE2F6D406249D148C6960A7D27 
/?3 = 06E14C8FC4DD312BA3B475F1F40CF01ACE2A88D5BB3C 
Pour chaque collection de/composantes d'engagement, le temoin etablit un 
engagement selon la technique des restes chinois. II y a autant 
d'engagements que de collections d'aleas. 



: R = Restes Chmois(/?„ R^, R) 
R = 28AA7F12259BFBA81368EB49C93EEAB3F3EC6BF73B0EBD7 
D3FC8395CFA1AD7FC0F9DAC169A4F6F1C46FB4C3458D1E37C9 
9123B56446F6C928736B17B4BA4A529 

Dans les deux cas, le demonstrateur transmet au controleur tout ou partie de 
chaque engagement i?, ou bien, un code de hachage H obtenu en hachant 
chaque engagement i? et un message M. 

2) L'acte de defi consiste a tirer au hasard im ou plusieurs defis d 
composes chacun de m defis elementaires d, d^ ... d^ \ chaque defi 
elementaire d^ prend I'une des valeurs de 0 a v/2-1. 

d = d, d^ ... J 

Voici un exemple pour le premier jeu de cles avec k=6etm = 3. 

^f,= 10110 = 22 = '16' ;^/, = 00111 =7 ;i/3 = 00010 = 2, 
d=0 \ \ dj \ dj \ t/j = 01011000 11 100010 = 58 E2 

Voici un exemple pour le second jeu de cles avec A: = 9 et m = 2. 

d= d^W d^ = 5SE2 = soit en decimal, 88 et 226 

Le controleur transmet au demonstrateur chaque defi d. 

3) L'acte de reponse comporte les operations suivantes. 

Lorsque le lemoin dispose des m valeurs privees de a et du module n, 
il calcule une ou plusieurs reponses D en utilisant chaque alea r de l'acte 
d' engagement et les valeurs privies selon les defis elementaires. 

X^Qt'.Qi^...Qi"' (mod«) 
D = rJC (modn) 
Voici un exemple pour le premier jeu de cles. 

D = FF257422ECD3C7A03706B9A7B28EE3FC3A4E974AEDCDF386 
5EEF38760B859FDB5333E904BBDD37B097A989F69085FB8EF6480 
A2C6 A290273479FEC9 1 7 1 990 A 1 7 

Lorsque le temoin dispose des / facteurs premiers de a et des m.f 
composantes privees 2y, il calcule ime ou plusieurs collections de / 



composantes de reponse en utilisant chaque collection d'aleas de I'acte 
d' engagement : chaque collection de composantes de reponse comporte une 
composante par facteur premier. 

^i^Qf}'Qiy-Q'n,:i (mod/7,) 

Di^ri.Xi (mod Pi) 
Voici im exemple pour le second jeu de cles. 

02660ADF3C73B6DC15E196152322DDE8EB5B35775E38 

04C15028E5FD1 175724376C1 1BE77052205F7C62AE3B 
D, = r,. e,/' • (modp,) = 

0903D20D0C306C8EDA9D8FB5B3BEB55E061AB39CCF52 
Pour chaque collection de composantes de reponse, le t6moin etablit une 
reponse selon la technique des restes chinois. II y a autant de r^ponses que 
de defis. 

D = Restes Chinois(i>p D^^ ... D) 
D = 85C3B00296426E97897F73C7DC6341FB8FFE6E879AE12EF1F36 

4CBB55BC44DEC4372.08CF530F8402BD9C5 11 F5FB3B3A3O9257AO0 

195A7305C6FF3323F72DC1AB 

Dans les dexix cas, le demonstrateur transmet chaque reponse D au 
controleur. 

4) L'acte de controle consiste a controler que chaque triplet {R, d, D} 
verifie ime equation du type suivant pour une va leur non nuUe. 

RY\Gf' =D'^' (mod n) oubien R^D^ Yl^^' ^^^^ 
i=i '=1 
ou bien, a retablir chaque engagement : aucun ne doit etre nul. 

R'^D^' /Y{Gf' ^^^^^^'^ ^'-^^ -11^^' 

Eventuellement, le controleur calcule ensuite un code de hachage H' en 



hachant chaque engagement retabli /? ' et un message M'. L'authentification 
dynamique est reussie lorsque le controleur retrouve ainsi ce qu'il a re^u a 
Tissue de Facte d' engagement, c'est-a-dire, tout ou partie de chaque 
engagement /?, ou bien, le code de hachage H. 

Par exemple, une sequence d' operations elementaires transforaie la reponse 
£) en un engagement R '. La sequence comprend k carres (mod ri) s6par6s 
par k-\ divisions ou multiplications (mod n) par des nombres de base. Pour 
la i ieme division ou multiplication, qui s'effectue entre le i ieme carre et le 
/+1 ieme carre, le i ieme bit du defi elementaire indique s'il faut utiliser 
^„ le i ieme bit du defi elementaire indique s'il faut utiliser g^, ... 
jusqu'au / ieme bit du defi elementaire d^ qui indique s'il faut utiliser 
Voici un exemple pour le premier jeu de cles. 

£)' (modn) =FD12E8E1F1370AEC9C7BA2E05C80AD2B692D341D46F3 
2B93948715491F0EB091B7606CA1E744E0688367D7BB998F7B73D5F7 
FDA95D5BD6347DC8B978CA2 1 7733 

3 . (mod n) = F739B708911 166DFE715800D8A9D78FC3F332FF622D 
3EAB8E7977C68AD44962BEE4DAE3C0345D1CB34526D3B67EBE8BF 
98704 1 B4852890D83FC6B48D3EF6A9DF 

3' .D' (mod «) - 682A7AF280C49FE230BEE354BF6FFB30B7519E3C8 
92DD07E5 A78 1 225BBD33920E5 ADABBCD7284966D7 1141 EAAl 7 AF 
8826635790743 EA7D9A1 5A33ACC749 1 D4A7 

3* . (mod «) = BE9D828989A2C184E34BA8FE0F384811642B7B548F 
870699E7869F8ED85 1FC3DB3830B2400C5 1 65 1 1 A0C28AFDD2 10EC3 
939E69D4 1 3F0BABC6DEC44 1 974B 1 A291 

3' . 5 . £>* (mod ri) = 2B40122E225CD858B26D27B768632923F2BBE5 
DB 1 5CA9EFA77EFA667E554 A02AD 1 A 1 E4F6B59BD9E1 AE4A537D 

4 AC 1 E89C223 5C3 63 83 0EBF4DB42CEA3D A98CFE00 

3'° . 5'. D'* (mod n) = BDD3B34C90ABBC870C604E27E7F2E9DB2D383 
68EA46C931C66F6C7509B118E3C162811A98169C30D4DEF768397DD 



B8F6526B671.42.1 8DEB627E1 1 FACA4B9DB268 

3" . 5' . 7 . £>" (mod n) = DBFA7F40D338DE4FBA73D42DBF427BBF195 

C13D02AB0FA5F8C8DDB5025E34282311CEF80BACDCE5D0C433444 

A2AF2B153 18C36FE2AE02F3C8CB25637C9AD712F 

3" . 5'. 7'. D" (mod «) = C60CA9C4A1 1F8AA89D9242CE717E3DC6C1 

A95D5DO9A2278F8FEE1DFD94EE84D09D00OEA8633B53C4AOE7F0A 

EECB70509667A3CB052029C94EDF27611FAE286A7 

3'' .5' .1\ D" (mod n) = DE40CB6B41C01E722E4F312AE7205F18CDD 

O3O3EA52261CB0EA9F0C7E0CD5EC53D42E5CB645B6BB1A3BO0C77 

886F4AC5 222F9C863DACA440CF5F 1 A8E3 74807 AC 

3** . 5'* .T .D"" (mod n\ c'est-a-dire, 3'^ . 5^ . 7* . (mod n) avec les 

exposants en hexa = FFDD736B666F41FB771776D9D50DB7CDF03F3D9 

76471B25C56D3AF07BE692CB1FE4EE70FA77032BECD8411B813B4C 

2121 0C6B0449CC4292E5DD2BDB00828 AF 1 8 

On retrouve bien I'engagement R. L'authentification est reussie. 

Voici un exemple pour le second jeu de cl6s. 

£>' (mod n) = C66E585D8F132F7067617BC6D00BA699ABD74FB9D13E 

24E6A6692CC8D2FC7B57352D66D34F5273C13F20E3FAA228D70AEC 

693F8395 ACEF9206B 1 72 A8 A2C2CCBB 

3 . DV(mod n) = 534C61 14D385C3E15355233C5BO0DO9C249OD1B8D8E 
D3D59213CB83EAD41C309A187519E5F501C4A45C37EB2FF38FBF20 

1 D6D 1 3 8F3 999FC 1 D06 A2B2647D482 83 

3' . D' (mod n) = A9DC8DEA867697E76B4C18527DFFC49F4658473D03 
4EC1DDE0EB21F6F65978BE477C423 1 AC9B 1EBD93D5D49422408E47 
1 59 19023B 16BC3C6C46A92BBD326AADF 

2.3\D* (mod n) = FB2D57796039DFC4AF9199CAD44B66F257A1FF 
3F2BA4C12B0A8496A0148B4DFBAFE838E0B5A7D9FB4394379D72A 

1 07E45C5 1 FCDB7462D03 A3 5002D29823 A2BB5 

2^ 3\ Z)' (mod n) = 4C210F96FF6C77541910623B1E49533206DFB9E91 



6521F305F12C5DB054D4E1BF3A37FA293854DF02B49283B6DE5E5D 
82ACB23DAF 1 A0D5A72 1 Al 890D03 A00BD8 

2' . 3' . £>" (mod n) = E4632EC4FE4565FC4B3126B15ADBF996149F2D 

BB42F65D9 1 1 D3 85 1 9 1 0FE7EA53DAEA7EE7BA8FE9DO8 1DB78B249 

B 1 B 1 8 8806 1 6B90D4E280F564E49B270AE023 88 

2\3'\ D" (mod n) = ED3DDC716AE3D1EA74C5AF935DE814BCC 

2C78B 1 2A6BB29FA542F998 1 C5D954F53D 1 53B9F0 1 98B A82690EF 

665C 1 7C399607DEA54E2 1 8C2C0 1 A890D422ED A 1 6F A3 

2' . 3'\ Z)'* (mod n) = DA7C64E0E8EDBE9CF823B71AB13F17E1 161487 

6B000FBB473F5FCBF5 A5D8D26C7B2A05D03BDDD5 88 1 64E562D0F5 

7AE94AE0AD3F35C61CO892F4C91DC0BO8ED6F 

2io 328 ^ 6ED6AFC5A87D2DD1 17B0D89O72C99FB9DC9 

5D558F65B6A1967E6207D4ADBBA32001D3828A35069B256A07C3D 

722F 1 7DA30088E6E739FBC4 1 9FD7282D16CD6542 

2" . 3'' . (mod n) = DDAD5F8B50FA5BA22F61B12OE5933F73B92 

BAAB1ECB6D432CFCC40FA95B77464003A705146A0D364AD40F8 

7AE45E2FB4601 1 1CDCE73F78833FAE505A2D9ACA84 

2" . 3'* . D"* (mod n) = A466DOCB17614EFD961000BD9EABF4F021 

3 6F8307 1 0 1 882BC 1 764DBAACB7 1 5EFBF5D83 09 AEOO 1 EB5DED A 

8F000E44B3D4578E5CA55797FD4BD1F8E919BE787BDO 

3112 ^128 ^^^^ ^ 925B0EDF5047EFEC5AFABDCO3A830919761 
B8FBDD2BF934E2A8A31E29B976274D513007EF1269E4638B4F65F 
8FDEC740778BDC178AD7AF2968689B930D5A2359 
2*4 31.3 ^.28 ^^^^ ^ B71 1D89C03FDEA8D1F889134A4F809B3F2D 

8207F2 AD82 1 3D 1 69F2E99ECEC4FE0803 89O0F0C2O3 B5 5EE4F4C803 

BFB9 1 2A04F 1 1 D9DB9D07602 1 764BC4F57D47834 

288 3226 ^256 ^^^^ ^ 41 A83F1 19FFE4A2F4AC7E5597A5D0BEB4D4C 

08D19E597FD034FE720235894363A19D6BC5AF323D24B1B7FCFD8D 

FCC628021B4648n7EF757A3E461EF0CFF0EA13 



2.76 . D'''. (mod w). soit 4" . 9^' . (mod n) = 28AA7F12259BFBA8 
1368EB49C93EEAB3F3EC6BF73B0EBD7D3FC8395CFA1AD7FC0F9D 
AC 1 69A4F6F 1 C46FB4C3458D 1E37C99 1 23B56446F6C928736B 1 7B4B A 
4A529 

On retrouve bien rengagement R. L'authentification est r^ussie. 
Signature num^rique 

Le mecanisme de signature numerique permet a une entity appelee 
signataire de produire des messages sign6s et a une entite appelee 
contrdleur de verifier des messages sign6s. Le message M est une sequence 
binaire quelconque : il peut etre vide. Le message M est sign6 en lui 
adjoignant un appendice de signature qui comprend un ou plusieurs 
engagements et / ou d^fis, ainsi que les reponses correspondantes. 
Le controleur dispose de la mdme fonction de hachage, des parametres k et 
m et du module n. Les parametres it et w renseignent le controleur. D'une 
part, chaque d6fi elementaire, de a doit prendre une valeur de 0 i 2*"'- 
1 (les valeurs de v/2 a v^l ne sont pas utilisees). D'autre part, chaque d6fi d 
doit comporter m defis 61ementaires notes de </, a autant que de nombres 
de base. En outre, faute d'indication contraire, les m nombres de base, de g, 
a g„, sont les m premiers nombres premiers. Avec {k-\).m valant de 15 a 20, 
on peut signer avec quatre triplets GQ2 produits en parallele ; avec {k-\).m 
valant 60 ou plus, on peut signer avec im seul triplet GQ2. Par exemple, 
avec A:= 9 et m = 8, un seul triplet GQ2 sufRt ; chaque defi comporte huit 
octets et les nombres de base sont 2, 3, 5, 7, 1 1, 13, 17 et 19. 
L'operatioii de signature est une sequence de trois actes : un acte 
d'engagement, un acte de defi et un acte de reponse. Chaque acte produit un 
ou plusieurs triplets GQ2 comprenant chacun : un engagement R (?* 0), im 
defi d compose de m d6fis elementaires notes par f/„ d^, ... d^ et une 
reponse D (^ 0). 

Le signataire dispose d'une fonction de hachage, du parametre k et de la cle 
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privee GQ2, >c.'est-a-dire, de la factorisation du module n selon Tune des 
trois representations evoquees ci-dessus. Au sein du signataire, on peut 
isoler un temoin qui execute les actes d'engagement et de reponse, de 
manidre a isoler les fonctions et les parametres les plus sensibles du 
demonstrateur. Pour calculer engagements et rdponses, le temoin dispose du 
parametre k et de la cle privee GQ2, c'est-^-dire, de la factorisation du 
module n selon I'lme des trois representations evoquees ci-dessus. Le 
temoin ainsi isole est semblaBle au temoin defmi au sein du d6monstrateur. 
II peut correspondre a xme realisation particuliere, par exemple, • une carte 
a puce relive a im PC formant ensemble le signataire, ou encore, • des 
programmes particulierement proteges au sein d'lm PC, ou encore, • des 
programmes particulierement proteges au sein d'une carte a puce. 

1) L'acte d'engagement comprend les operations suivantes. 

Lorsque le temoin dispose des m valeurs privees de Q^ a et du module n, 
il tire au hasard et en prive un ou plusieurs aleas r (0 < r < w) ; puis, par k 
el6vations successives au carre (mod n), il transforme chaque al6a r en \m 
engagement R. 

R^r" (modn) 

Lorsque le temoin dispose des / facieurs premiers de a et des m.f 
composantes privees Q,j, il tire au hasard et en prive une ou plusieurs 
collections de / aleas : chaque collection comporte un alea r. par facteur 
premier p. (0 < r. < p) ; puis, par k elevations successives au carr6 (mod/?,), 
il transforme chaque alea r. en ime composante d'engagement R^. 

Ri^ry (mod Pi) 

Pour chaque collection de / composantes d'engagement, le temoin 6tablit im 
engagement selon la technique des restes chinois. II y a autant 
d' engagements que de collections d' aleas. 

R = Restes Chinois(i?,, R^, ... R) 

2) L'acte de defi consiste a hacher tons les engagements R et le message a 
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signer M pour obtenir iin code de hachage a partir duquel le signataire 
forme iin ou plusieurs defis comprenant chacun m defis elementaires ; 
chaque defi elementaire prend une valeur de 0 a v/2-1 ; par exemple, avec 
A: = 9 et m = 8, chaque defi comporte huit octets. II y a autant de defis que 
d' engagements. 

d=d^ d^... d^, extraits du resultat Hash(Ar, R) 
3) L'acte de reponse comporte les operations suivantes. 
Lorsque la temoin dispose des m valeurs privees de a et du module 
il calcxile une ou plusieurs reponses D en utilisant chaque alea r de I'acte 
d'engagement et les valeurs privees selon les defis el6mentaires. 

X^Qf'.Q^\..Q^- (modn) 
D^r.X (modn) 

Lorsque le temoin dispose des / facteurs premiers de p, a et des m/ 
composantes privees Q.^, il calcule une ou plusieurs collections de / 
composantes de reponse en utilisant chaque collection d*al6as de Tacte 
d' engagement : chaque collection de composantes de reponse comporte ime 
composante par facteur premier. 

^i^Qt]-Q2i-Q'":i (mod A) 

Di=riJCi (mod Pi) 
Pour chaque collection de composantes de r6ponse, le temoin etablit une 
reponse selon la technique des restes chinois. 11 y a autant de reponses que 
de defis. 

D = Restes Chinois(£>„ D^, ... 
Le signataire signe le message M en lui adjoignant un appendice de 
signature comprenant : 

- ou bien, chaque triplet GQ2, c'est-i-dire, chaque engagement R, chaque 
defi d et chaque reponse D, 

ou bien, chaque engagement R et chaque reponse D correspondante, 
ou bien, chaque d6fi d et chaque reponse D correspondante. 
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Le deroulement de Toperation de verification depend du contenu de 
I'appendice de signature. On distingue les trois cas. 

Au cas oil Tappendice comprend un ou plusieurs triplets, I'operation de 
cbntrole comporte deux processus independants dent la chronologic est 
indifferente. Le controleur accepte le message signe si et seulement si les 
deux conditions suivantes sont remplies. 

D'une part, chaque triplet doit etre coherent (une relation appropri6e du 
type suivant doit etre verifiee) et recevable (la comparaison doit se faire sur 
une valeur non nulle). 

RYlof' =D^' (mod n) oubien R^D^ TI^^' ^^^^ 

Par exemple, on transforme la reponse D par xme sequence d' operations 
elementaires : k carres (mod n) separes par ^^1 multiplications ou divisions 
(mod n) par des nombres de base. Pour la / ieme multiplication ou division, 
qui s'effectue entre le / ieme carre et le /+1 ieme carre, le / ieme bit du defi 
elementaire indique s'il faut utiliser le i ieme bit du defi elementaire 
indique s'il faut utiliser . . . jusqu'au / ieme bit du defi elementaire d^ qui 
indique s'il faut utiliser g^. On doit ainsi retrouver chaque engagement R 
present dans I'appendice de signature. 

D'autre part, le ou les triplets doivent etre lies au message M. En hachant 
tous les engagements R et le message M, on obtient un code de hachage a 
partir duquel on doit retrouver chaque defi d. 

d = d^ d^... identiques a ceux extraits du resultat Hash(M, R) 
Au cas ou I'appendice ne comprend pas de defi, Toperation de controle 
commence par la reconstitution de im ou plusieurs defis d' en hachant tous 
les engagements R et le message M. 

d'=-d\d\... d'^, extraits du resultat Hash(A/; R) 
Ensuite, le controleur accepte le message signe si et seulement si chaque 
triplet est coherent (une relation appropriee du type suivant est verifiee) et 



recevable (la comparaison se fait sur une valeur non nulle). 

RYlof'^D^ (mod oubien 7? = ,J][Gf ' (mod /z) 

Au cas ou I'appendice ne comprend pas d'engagement, roperation de 
controle commence par la reconstitution de im ou plusieurs engagements R ' 
selon ime des deux foraiules sxiivantes, celle qui est appropri6e. Aucun 
engagement r^tabli ne doit etre nul, 

R'^D^' /Y[Gf' (mod n) oubien R'=D^ Tl^^' 
,=1 '=1 
Ensuite, le contrSleur doit hacher tous les engagements i?' et le message M 

de fa^on a reconstituer chaque d6fis d. 

d=d^ d^... d^, identiques a ceux extraits du r^sultat Hash(M, R *) 
Le contrdleur accepte le message sign6 si et seulement si chaque d6fi 
reconstitu6 est identique au d6fi correspondant figurant en appendice. 



Dans la presenle demande, on a montre qu'il existait des couples de valeurs 
privee Q et publique G pemiettant de mettre en CEuvre le precede, le 
systeme et le dispositif selon I'invention destine k prouver I'authenticit^ 
d'une entite et/ou I'integrite et/ou 1' authenticity d'un message. 
Dans la demande pendante.deposee le meme jour que la presente demande 
par France Telecom, TDF et la Societe Math RiZK et ayant pour inventeurs 
Louis Guillou et Jean-Jacques Quisquater, on a decrit \m precede pour 
produire des jeux de cles GQ2, a savoir, des modules n et des couples de 
valeurs publique G et priv6e Q dans le cas ou I'exposant v est 6gal k 2*. EUe 
est incorporee ici par reference. 
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Revendications 

1. Precede destine a prouver a une entite controleur, 

- Tauthenticite d'une entite et/ou 

- rintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ce\ix-ci: 

- m couples de valeurs privees Q|, Q2, ... Qm publiqnes Gj, G2, ... 
G„ (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi5 P29 • • • Pf (f ^t^t superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

Gj . Qi^ = 1 . mod n ou Gj = Qj^mod n ; 
ledit exposant v etant tel que 

v = 2'' 

ou k est un parametre de secxirite plus grand que 1 ; 

ladite valeur publique Gj etant le carre gj^ d'un nombre de base gj inferieur 
aux f facteurs premiers p^, P25 ... Pf ; le nombre de base gj etant tel que : 

les deux equations : 

x^ = gimodn et x^ = -gimodn 
n'ont pas de solution en x dans Tanneau des entiers modido n 
et tel que : 

r equation : 

= gj^ mod n 

a des solutions en x dans Tamieau des entiers modido n ; 
ledit procede met en ceuvre selon les etapes suivantes xme entite appelee 
temoin disposant des f facteurs premiers P| et/ou des parametres des restes 
chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privees Q; et/ou des fan composantes Qj^ j (Q^ j = Qj mod p.) des valeurs 



privees QjCt de I'exposant public v ; 

- le temoin calcule des engagements R dans Tanneau des entiers 
modulo n ; chaque engagement etant calcule : 

• soit en effectuant des operations du type 

R s mod n 
ou r est un alea tel que 0 < r < n, 

• soit 

•• en effectuant des operations du type 
Rj^ Filmed Pi 

ou Tj est im alea associe au nombre premier pj tel que 0 < r| < pj , chaque r, 
appartenant a une collection d'aleas {rj , , ... r^} , 

•• puis en appliquant la methode des restes chinois ; 

- le temoin re?oit un ou plusieurs defis d ; chaque defi d comportant 
m entiers d; ci-apres appeles defis elementaires ; le temoia calcule a partir de 
chaque d^fi d une reponse D, 

• soit en effectuant des operations du type : 

D H r . Qi Q2 ^. . . . Q„, mod n 

• soit 

en effectuant des operations du type : 
= r, . . ^\ ... Q,,„, ""^ mod p, 
•• puis en appliquant la methode des restes chinois ; 
ledit procede etant tel qu'il y a autant de reponses D que de defis d que 
d' engagements chaque groupe de nombres R, d, D constituant un 
triplet note {R, d, D}- 

2. Procede selon la revendication 1 destine a prouver Tauthenticite 
d'lme entite appelee demonstrateur a une entite appelee controleur, ladite 
entite demonstrateiir comprenant le temoin ; 

lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d'engagement R 



- a chaque appel,-le temoin calcule chaque engagement R en appliquant le 
processus specific selon la revendication 1, 

- le demonstrateur transmet au controleur tout ou partie de chaque 
engagement R, 

• etape 2 : acte de defi d 

- le controleur, apres avoir re?u tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d' engagements R et 
transmet les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific selon la revendication 1, 

• etape 4 : acte de contrdle 

- le demonstrateur transmet chaque reponse D au controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 
dans le cas ou le demonstrateur a transmis une partie de chaque 
engagement R, le controleur, disposant des m valeurs publiques Gj, Gj, ... 
G^, calcule a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R' satisfaisant a une relation du type : 

R' ^ ... , mod ii 

ou a une relation du type, 

R' = DV Gi G2 . . . G„, ^ . mod n , 
le controleur verifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis, 
cas oil le demonstrateur a transmis Tintegralite de chaque engagement 
R 

dans le cas ou le demonstrateur a transmis rintegralite de chaque 
engagement R, le controleur, disposant des m valem-s publiques G,, Gj, ... 
G^, verifie que chaque engagement R satisfait a vme relation du type : 
R = G/^ G2 ^. ... G^ . mod n 
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ou a line relation du type, 

R = DV G/' ..G2 ^ . mod n . 

3, Procede selon la revendication 1 destine a prouver a ime entite 
appelee controleur Tintegrite d'xin message M associe a une entite appelee 
demonstrateur, ladite entite demonstrateur comprenant le temoin ; 
lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specific selon la revendication 1 , 

• etape 2 : acte de defi d 

- le demonstrateur applique ime fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins im jeton T, 

- le demonstrateur transmet le jeton T au controletir, 

- le controleur, apres avoir re9u im jeton T, produit des defis d en nombre 
egal au nombre d' engagements R et transmet les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific selon la revendication 1, 

• etape 4 : acte de controle 

- le demonstrateur transmet chaque reponse D au controleur, 

- le controleur, disposant des m valeurs publiques Gj, G2, ... G^, calcule a 
partir de chaque defi d et de chaque reponse D im engagement reconstmit 
R' satisfaisant a ime relation du type : 

R' = G/^ G2 ^. ... G„ -D" mod n 
ou a une relation du type : 

R' = DVG/^G2^^...G^^. modn 

- puis le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 



reconstmit R' pour reconstruire le jeton T% 

- puis le controleur verifie que le jeton T' est identique au jeton T tmnsmis. 

4, Procede selon la revendication 1 destine a produire la signature 
numerique d'un message M par une entite appelee entite signataire, ladite 
entite signataire comprenant le temoin ; 
Operation de signature 

ladite entite signataire execute une operation de signature en vue 
d'obtenir un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ladite entite signataire execute 1' operation de signature en mettant en 
oeuvre les etapes suivantes : 

• etape 1 : acta d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specific selon la revendication 1 , 

• etape 2 : acte de deft d 

- le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire, 

- le signataire extrait de ce train binaire des defis d en nombre egal au 
nombre d'engagements R, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific selon la revendication 1 . 

5. Procede selon la revendication 4 destine a prouver Tauthenticite 
du message M en controlant, par une entite appelee controleur, le message 
signe; 

Operation de contrdle 

ladite entite controleur disposant du message signe execute ime operation 



de controle en procedant comme suit : 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le controleur dispose des engagements des defis d, des 
reponses D, 

• • le controleur verifie que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = G/* . G2 . . • ^ . mod n 

ou a des relations du type : 

R = DVG/^G2^^...G^^'". modn 

• • le controleur verifie que le message M, les defis d et les 
engagements R satisfont a la fonction de hachage 

d = h (message, R) 

• cas ou le controleur dispose des defis d et des reponses D 
dans le cas ou le controleiu: dispose des defis d et des reponses 

• • le controleur reconstmit, a partir de chaque defi d et de chaque 
reponse D, des engagements R' satisfaisant a des relations du type : 

R' = G/^ G, ^. .. . G^ ^"^ . mod n 

ou a des relations du type : 

R' = DVG/^G2'*^. ...G^**'". modn 

• • le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 

d = h (message, R') 

• cas ou le controleur dispose des engagements R et des reponses D 

dans le cas ou le controleiu- dispose des engagements R et des reponses D, 

• • le controleur applique la fonction de hachage et reconstmit d' 

d' = h (message, R) 

• • le controleiu- verifie que les engagements R, les defis d' et les 
reponses D, satisfont a des relations du type : 



R = G/ ^ ^ ^ ... mod n 

ou a des relations du type : 

R = DV Gi . G2 ^'2. _ G„ ^'"^ . mod n 
6. Systeme destine a prouver a un serveur controleiir, 

- Tauthenticite d'une entite et/ou 

- rintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q^, Q2, ... Qn, et publiques Gj, Gj, ... 
Gnj (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi9 P2? Pf etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

Gi . Qi^ = 1 . mod n ou G; = Qj^mod n ; 

ledit exposant v etant tel que 

ou k est im parametre de securite plus grand que 1 ; 

ladite valeur publique etant le cane g^^ d'un nombre de base gj inferieur 
aux f facteurs premiers pj, P25 • Pf ; nombre de base gj etant tel que : 

les deux equations : 

x^ = gimodn et x^ = -gimodn 
n'ont pas de solution en x dans Tanneau des entiers modulo n 
et tel que : 

r equation : 

= gi^ mod n 

a des solutions en x dans I'anneau des entiers modulo n ; 

ledit systeme comprend un dispositif temoin, notamment contenu dans un 

objet nomade se presentant par exemple sous la forme d'une carte bancaire 



a microprocesseur, 

le dispositif temoin comporte 

- une zone memoire contenant les f facteurs premiers pj et/ou les 
parametres des restes chinois des facteurs premiers et/oii le module public n 
et/ou les m valeurs privees Qi et/ou les f.m composantes Qj^j (Qj^ j = Qj mod 
Pj) des valeurs privies QjCt Texposant public v ; 

ledit dispositif temoin comporte aussi : 

- des moyens de production d*aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
ranneau des entiers modulo n ; chaque engagement etant calcule : 

• soit en effectuant des operations du type 
R = r^modn 

ou r est un alea produit par les moyens de production d'aleas, r etant tel 
que 0 < r< n, 

• soit en effectuant des operations du type 
R, = ri^mod 

ou Fj est un alea associe au nombre premier p, tel que 0 < Fj < pj , chaque 
appartenant a une collection d'aleas {rj , , ... r^} produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois ; 
ledit dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de 
reception des defis d du dispositif temoin, pour recevoir un ou plusieurs 
defis d ; chaque defi d comportant m entiers d^ ci-apres appeles defis 
elementaires ; 

- des moyens de calcul, ci apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D, 
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• soit en effectuant des operations du type : 

D = r . Q, Q2 . . . ^™ mod n 

• soit en effectuant des operations du type : 

Di ^ . Q,/^ . . . Q,^ <^ mod R 

puis en appliquant la methode des restes chinois, 

- des moyens de transmission pout transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

il y a autant de reponses D que de defis d que d'engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

7. Systeme selon la revendication 6 destine a prouver Tauthenticite 
d'une entite appelee demonstrateur a une entite appelee controleur, 
ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateur associe a Tentite demonstrateur, ledit 
dispositif demonstrateur etant interconnecte au dispositif temoin par des 
moyens d'interconnexion et pouvant se presenter notamment sous la 
forme de microcircuits logiques dans un objet nomade par exemple sous la 
forme d'lm microprocesseur dans ime carte bancaire a microprocesseur, 

- un dispositif controleur associe a T entite controleur, ledit dispositif 
coritroleur se presentant notamnient sous la foraie d'lm tenxdBa] ou d'un 
serveur distant, ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement; electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, au dispositif demonstrateur ; 

ledit systeme permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
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les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif demonstratexir, via les moyens 
d' interconnexion, 

le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
controleur, via les moyens de connexion ; 

• ^tape 2 : acte de defi d 

le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir re9u tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d' engagements R, 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, via les moyens de connexion ; 

• etape 3 : acte de r^ponse D 

les moyens de reception des defis d du dispositif temoin, resolvent chaque 
defi d provenant du dispositif demonstratexir, via les moyens 
d 'interconnexion, 

les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specific selon la 
revendication 1, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur, 

le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 



cas oil le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques Gj, Gj, ... G^ calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' = G/^ G2 G^ mod n 

ou a une relation du type, 

R' ^ DV Gi . G2 ^, . . . G^ ^ . mod n , 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R regu, 
cas ou le demonstrateur a transmis I'integralite de chaque engagement 
R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
rintegralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
Gi, G25 ... Gni, verifient que chaque engagement R satisfait a une relation 
du type : 

R H G2 ... G^ . mod n 

ou a une relation du type, 

R = DVGi ^^G2^. ...G^*".modn, 
8. Systeme selon la revendication 6 destine a prouver a ime entite 
appelee controleur Tintegrite d'un message M associe a xme entite appelee 
demonstrateur, 

ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateiu* associe a T entite demonstrateur, ledit 
dispositif demonstrateur etant interconnecte au dispositif temoin par des 
moyens d' interconnexion et pouvant se presenter notamment sous la 
forme de microcircuits logiques dans xm objet nomade par exemple sous la 



forme d'lin microprocesseur dans vine carte bancaire a microprocesseur, 

- xin dispositif controleur associe a I'entite controleiir, ledit dispositif 
controlenr se presentant notamment sous la forme d'lm te rminal on d'un 
serveur distant, ledit dispositif controlenr comportant des moyens de 
connexion pour le connecter electriquement; electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un r^seau de 
communication informatique, au dispositif demonstrateur ; 
ledit systeme permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus sp6cifi6 
selon la revendication 1 , 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif demonstrateur, via les moyens 
d' interconnexion, 

• etape 2 : acte de d^fi d 

le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du demonstrateur, apphquant vme fonction 
de hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer au moins xm jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif demonstratexu", 
pour transmettre chaque jeton T, via les moyens de connexion, au 
dispositif controleur, 

le dispositif controleur comporte aussi des moyens de production de defis 
pour produire, apres avoir re?u le jeton T, des defis d en nombre egal au 
nombre d' engagements R, 

le dispositif controleur comporte aussi des moyens de tran sm ission, ci-apres 




designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, via les moyens de connexion ; 

• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re^oivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d ' interconnexion, 

les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifiie selon la 
revendication 1, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleiir, 

le dispositif controlexir comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
valeurs publiques Gj, Gj, ... G„, pour d'une part, calculer a partir de 
chaque defi d et de chaque reponse D un engagement reconstmit R' 
satisfaisant a une relation du type : 

= Gi ^^ Gj ^. • . . G„ • mod n 
ou a une relation du type ; 

R'=DVGi^^G2'"....G„^. modn 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
conune arguments le message M et tout ou partie de chaque engagement 
reconstruit R% un jeton T% 

le dispositif controleur comporte aussi des moyens de comparaison, ci-apres 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton calcule T' au jeton T re9u, 

9, Systeme selon la revendication 6 destine a produire la signature 
niunerique d'xm message M, ci-apres designe le message signe, par une 
entite appelee entite signataire ; 
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le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 
Operation de signature 

ledit systeme etant tel qu'il comporte im dispositif signataire associe a 
Tentite signataire, ledit dispositif signataire etant interconnecte au 
dispositif temoin par des moyens d' interconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans mi objet nomade 
par exemple sous la forme d'lm microprocesseur dans ime carte bancaire a 
microprocesseur, 

ledit systeme permettant d*executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif signataire, via les moyens 
d' interconnexion, 

• etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliqiiant xme fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d'engagements R, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, repoivent chaque 
defi d provenant du dispositif signataire, via les moyens d' interconnexion. 



les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre les 
reponses D au dispositif signataire, via les moyens d' interconnexion. 

10. Systeme selon la revendication 9 destine a prouver Tauthenticite 
du message M en controlant, par xme entite appelee controleur, le message 
signe; 

Operation de contrdle 

ledit systeme etant tel qu'il comporte im dispositif controleur associe a 
Tentite controleur, ledit dispositif controleur se pr^sentant notamment sous 
la forme d'lm temiinal ou d'un serveur distant, ledit dispositif controleur 
comportant des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, 
notamment via im reseau de communication informatique, au dispositif 
signataire ; 

le dispositif signataire associe a Tentite signataire comporte des moyens de 
transmission, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion, de telle sorte que le dispositif controlexu: dispose 
d'un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 



comparaison du dispositif controleur, 

• cas ou le dispositif controleur dispose des engagements des delis d, 
des reponses D, 

dans le cas ou le dispositif controleur dispose des engagements des defis 
d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 

R = G/^ Gj^. ... ^ . D^mod n 

ou a des relations du type : 

R = DVG/\G/l...G„^. modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h (message, R) 

• cas ou le dispositif controleur dispose des defis d et des reponses D 

dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R' = Gi ^^G2 '^^....G^^'^.D" modn 
ou a des relations du type : 

R' = DV G/\ G2 ^. ... G^ . mod n 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = h (message, R') 

• cas ou le dispositif controleur dispose des engagements R et des 
reponses D 

dans le cas ou le dispositif controleur dispose des engagements R et des 



reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (message, R) 

• • les moyens de calcxil et de comparaison du dispositif controleur 
verifient que les engagements R, les defis et les reponses D, satisfont a 
des relations du type : 

R = Gi . G2 ^ ^ ... ^'"^ . mod n 
ou a des relations du type : 

R = DVG/^G2^^...G^^''". modn 
11. Dispositif terminal associe a xme entite, se presentant notamment 
sous la forme d'un objet nomade par exemple sous la forme d'une carte 
bancaire a microprocesseur, destine a prouver a un dispositif controleur, 

- Tauthenticite de Tentite et/ou 

- rintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Qi, Q2, ... Qn, et publiques Gj, Gj, ... 
G^ (m etant superieur ou egal a 1), 

- un module public n conslitue par le produit de f facleurs premiers 
Pi5 P25 Pf etant superieur ou egad a 2), 

- vm exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

G; . = 1 . mod n ou Gj = Q.^mod n ; 
ledit exposant v etant tel que 

y = 2^ 

ou k est xm parametre de securite plus grand que 1 ; 

ladite valeur publique G; etant le carre g-^ d'xrn nombre de base gj inferieur 
aux f facteurs premiers pj, P29 Pf ; le nombre de base gj etant tel que : 
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les deux equations : 

x^ = gimodn et x^ = -gimodn 
n'ont pas de solution en x dans Tanneau des entiers modulo n 
et tel que : 

Tequation : 

= gi^ mod n 

a des solutions en x dans Taimeau des entiers modulo n ; 

ledit dispositif terminal comprend im dispositif temoin comportant, 

- une zone memorre contenant les f facteurs premiers pj et/ou les 
parametres des restes chinois des facteurs premiers et/ou le module public n 
et/ou les m valeurs privees Qj et/ou les f.m composantes Q| j (Qi^ j = Qj mod 
Pj) des valeurs privees QjCt Texposant public v ; 

ledit dispositif temoin comporte aussi 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin„ 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
] 'anneal] des entiers modulo n ; chaque engagement etant calcnle : 

• soit en effectuant des operations du type 
R = r''modn 

ou r est un alea produit par les moyens de production d'aleas, r etant tel 
queO<r<ii, 

• soit en effectuant des operations du type 
Ri = ri^mod pj 

ou Tj est un alea associe au nombre premier pj tel que 0 < Fj < Pj , chaque T; 
appartenant a ime collection d'aleas {Fj , , ... rj produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois ; 
ledit dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de 



reception des defis d du dispositif temoin, pour recevoir xm ou plusieurs 
defis d ; chaque defi d comportant m entiers dj ci-apres appeles defis 
elementaires ; 

- des moyens de calcul, ci apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D, 

• soit en effectuant des operations du type : 

D = r • Q/^ Q2 ^. ... mod n 

• soit en effectuant des operations du type : 

^ • Qm • Qi^ Qi^m mod Pj 
puis en appliquant la methode des restes chinois, 

- des moyens de transmission pout transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

il y a autant de reponses D que de defis d que d'engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

12. Dispositif terminal selon la revendication 11 destine a prouver 
Tauthenticite d'une entite appelee demonstrateur a une entite appelee 
controleur, 

ledit dispositif tenniiial etant tel qu'il compone un dispositif demonstrateur 
associe a T entite demonstratexu*, ledit dispositif demonstratexir etant 
interconnecte au dispositif temoin par des moyens d' interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour 
le connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via xm reseau de conmixmication 
informatique, au dispositif controlexu" associe a 1' entite controleur, ledit 
dispositif controlexir se presentant notamment sous la forme d'lm te rminal 



ou d'un serveiir distant ; 

ledit dispositif tenninal permettaat d'executer les etapes sxxivantes : 

• etape 1 : acte d'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif demonstrateur, via les moyens 
d' interconnexion, 

le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
controleur, via les moyens de connexion ; 

• etapes 2 et 3 : acte de defi d, acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re^oivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion 
entre Ic dispositif controleur et le dispositif demonstrateur et via les moyens 
d'intercoimexion entre le dispositif demonstrateur et le dispositif temoin, 
les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specific selon la 
revendication 1, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui precede au controle, 

13. Dispositif terminal selon la revendication 1 1 destine a prouver a 
ime entite appelee controleur I'integrite d'lm message M associe k une 
entite appelee demonstratevir, 

ledit dispositif terminal etant tel qu'il comporte un dispositif demonstrateur 



• # 



associe a I'entite demonstrateur, ledit dispositif demonstrateur etant 
interconnecte au dispositif temoin par des moyens d' interconnexion et 
pouvant se presenter notamment sous la forme de microcircxiits logiques 
dans un objet nomade par exemple sous la forme d'lm microprocesseur 
dans ime carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour 
le connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, au dispositif controleur associe a Tentite controleur, ledit 
dispositif controleur se presentant notanunent sous la forme d'un terminal 
ou d'xm serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• ^tape 1 : acte d'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif demonstrateur, via les moyens 
d'intercormexion, 

• etapes 2 et 3 : acte de defi d, acte de reponse D 

le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du demonstrateur, appliquant une fonction 
de hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer au moins un jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif demonstrateur, 
pour transmettre chaque jeton T, via les moyens de connexion, au 
dispositif controleur. 




(ledit dispositif controleur produit, apres avoir regu le jeton T, des defis 
d en nombre egal au nombre d' engagements R,) 

les moyens de reception des defis d du dispositif temoin, repoivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion 
entre le dispositif controleur et le dispositif demonstrateur et via les moyens 
d*interconnexion entre le dispositif demonstrateur et le dispositif temoin, 
les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specific selon la 
revendication 1 , 

• etape 4 : acte de contrdle 
les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 

14, Dispositif temiinal selon la revendication 1 1 destine a produire la 
signature nimierique d'un message M, ci-apres designe le message signe, 
par une entite appelee entite signataire ; 
le message signe comprenant : 

- le message M, 

- les defis d el/ou les engagements R, 

- les reponses D ; 

ledit dispositif temiinal etant tel qu'il comporte im dispositif signataire 
associe a T entite signataire, ledit dispositif signataire etant ioterconnecte au 
dispositif temoin par des moyens d' interconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans ime carte bancaire a 
microprocesseur, 

ledit dispositif signataire comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, au dispositif controleur associe a I'entite controlexir, ledit 



dispositif controleur se presentant notamment sous la fonne d'un tenniml 
ou d'lm serveur distant ; 
Operation de signature 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif signataire, via les moyens 
d ' intercoimexion, 

• etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer un train binaire et extraire de ce train 
binaire des.defis d en nombre egal au nombre d 'engagements R, 
^ :r: -i^ •^ita^e 3 : acte de reponse D 
les moyens de reception des defis d du dispositif temoin, re9oivent chaque 
defi d provenant du dispositif signataire, via les moyens d'interconnexion, 
les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specific selon la 
revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre les 
reponses D au dispositif signataire, via les moyens d'intercoimexion. 

15. Dispositif controleur, se presentant notamment sous la forme 
d'un terminal ou d'xm serveur distant, associe a ime entite controleur. 




destine a controler : 

- Fauthenticite d'une entite et/ou 

- rintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de cexix-ci: 

- m couples de valeurs publiques G^, Gj, ... G^ (m etant superieur 
ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi5 P25 Pf etant superieur ou egal a 2) incomius du dispositif control eur 
et de r entite controleur associe, 

- im exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

G| . Qi^ = 1 . mod n ou Gi = Qi^mod n ; 

ou Qi designe une valeur privee, inconnue du dispositif controleur, 
associee a la valeur publique Gj , 
ledit exposant v etant tel que 

v = 2*' 

ou k est un pai*anaeire dc securile plus grand que 1 ; 

ladite valeur publique Gj etant le carre gj^ d'un nombre de base gj inferieur 
aiix f facteurs premiers Pi, P29 Pf ; le nombre de base g; etant tel que : 

les deux equations : 

= gi mod n et = - gi mod n 

n'ont pas de solution en x dans Tanneau des entiers modulo n 
et tel que : 

r equation : 

x"" s gi^ mod n 

a des solutions en x dans I'aimeau des entiers modulo n ; 

16. Dispositif controleur selon la revendication 15 destine a prouver 
rauthenticite d'vme entite appelee demons trateur a une entite appelee 
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controleur ; 

ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associee a I'entite 
demonstrateur ; 

ledit dispositif controleur pennettant d'executer les etapes suivantes : 

• etapes let 2: acte d'engagement R, acte de defi d 
ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion, 

le dispositif controleur comporte des moyens de production de d6fis pour 
produire, apres avoir re9u tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d'engagements R, chaque d6fi d 
comportant m entiers dj ci-apres appeles defis el6mentaires, 
le dispositif controleur comporte aussi des moyens de transmission, ci-apr^s 
designes les moyens de transmission du contrdleur, pour transmettre les 
defis d au demonstrateur, via les moyens de connexion ; 

• etapes 3 et 4 : acte de reponse D, acte de contrdle 
ledit dispositif controleur comporte aussi : 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif contrdleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de reception du dispositif controleur ont repus 
une partie de chaque engagement R, les moyens de calcul du dispositif 




controleur, disposant des m valeurs publiques Gj, G2, ... G^, calculent a 
partir de chaque defi d et de chaque reponse D im engagement reconstruit 
R' satisfaisant a une relation du type : 

R' = G/^ G2 G„ ^ . mod n 
ou a une relation du type, 

R' = D^/Gi '*^G2 ... G„^. mod n , 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re^u, 
cas ou le demonstrateur a transmis IMntegralite de chaque engagement 
R 

dans le cas ou les moyens de reception du dispositif controleur ont re?us 
IMntegralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
G„ G25 ... G„, verifient que chaque engagement R satis fait a une relation 
du type : 

R = Gi **».G2'»'....G„*".D" modn 

ou a une relation du type, 

R = DV Gi G2 ... . mod n . 

17. Dispositif controleur selon la revendication 15 destine a prouver 
rintegrite d'un message M associe a une entite appelee demonstratexir, 
ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via im reseau de communication 
informatique, a xm dispositif demonstratexir associee a T entite 
demonstrateur ; 

ledit dispositif controleur permettant d'executer les etapes suivantes : 

• etapes 1 et 2 : acte d'engagement R, acte de defi d 
ledit dispositif controlexir comporte aussi des moyens de reception de 
jetons T provenant du dispositif demoostratexir, via les moyens de 



connexion, 

le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir re^u le jeton T, des defis d en nombre egal au nombre 
d' engagements chaque defi d comportant m entiers dj ci-apres appeles 
defis elementaires ; 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, via les moyens de connexion ; 

• etapes 3 et 4 : acta de reponse D, acte de contrdle 
ledit dispositif controleur comporte aussi : 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de conjiexion, 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controlexir, disposant des m valeurs publiques Gj, Gj, ... G^, pour 
d'une part, calculer a partir de chaque defi d et de chaque reponse D un 
engagement reconstmit R' satisfaisant a une relation du type : 

R' -Gi . G2 ^. ... G^ '""^ . D'mod n 
ou a une relation du type : 

R' = / G/^ G2 ... "^"^ . mod n 
puis d'autre part, calculer en appliquant une fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstmit R% un jeton T', , 
le dispositif controleur comporte aussi 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, pour comparer le jeton calcule au 
jeton T re?u. 

18. Dispositif controleur selon la revendication 15 destine a prouver 
Tauthenticite du message M en controlant, par une entite appelee 
controleur, un message signe; 




le message sigae, emis par un dispositif signataire associe a une entite 
signataire disposant d'une fonction de hachage h (message, R) , 
comprenant : 

- le message M, 

- des defis d et/ou des engagements R, 

- des reponses D ; 
Operation de contrdle 

ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notanmient via un reseau de communication 
informatique, a un dispositif signataire associee a T entite signataire ; 
ledit dispositif controleur ayant refu le message signe du dispositif 
signataire, via les moyens de connexion, 
le dispositif controleur comporte : 

- des moyens de calcxil, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
compaiaison du dispositif controleur, 

• cas ou le dispositif controleur dispose des engagements R, des defis d, 
des reponses D, 

dans le cas ou le dispositif controlem- dispose des engagements R, des defis 
d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 

R = G/^ G2 ^. G„ ^. D^mod n 

ou a des relations du type : 

R = DVGi^^G2^....G^^. modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
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verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h (message, R) 

• cas ou le dispositif contrdleur dispose des defis d et des r^ponses D 

dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R' = G/^ G2 ... ^ . mod n 
ou a des relations du type : 

R'^DVC/^Gj^^. — G^^. modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = h (message, R') 

• cas oil le dispositif contrdleur dispose des engagements R et des 
reponses D 

dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, v r; 

• • les moyens de calcul du dispositif co'iitroleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (message, R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = G, . G2 ... G„ ^'"^ . mod n 
ou a des relations du type : 

R = DV Gi . G2 ^ ... G^ . mod n 




Procede destine a prouver Tauthenticite d'une entite ou Tintegrite d'nn message 

au moyen d'un exposant public egal a une puissance de deux. 
La presente invention conceme les precedes, las systemes ainsi que les 
dispositifs destines a prouver Tauthenticite d'une entite et/ou Tintegrite 
et/ou rauthenticite d'un message. 

Le brevet EP 0 311 470 Bl dont les inventeurs sont Louis Guillou at Jean- 
Jacques Quisquater decrit xin tel procede. On y fera ci-apres reference en le 
designant par les termes : "brevet GQ" ou " procede GQ". Par la suite on 
designera parfois par "GQ2", "invention GQ2" ou "technologie GQ2" la 
presente invention. 

Selon le procede GQ, une entite appelee " autorite de confiance " attribue 
une identite a chaque entite appelee " temoin " et en calcule la signature 
RSA; durant un processus de personnalisation, Tautorite de confiance 
donne identite et signature au temoin. Par la suite, le temoin proclame : 
" Void man identite ; j'en connais la signature RSA. " Le temoin prouve 
sans la reveler qu'il connait la signature RSA de son identite, Grace a la cle 
publique de verification RSA distribuee par T autorite de confiance, une 
entite appelee " controleur " verifie sans en prendre connaissance que la 
signature RSA correspond a Tidemite proclamee. Les mecanismes utilisant 
le procede GQ se deroulent " sans transfert de connaissance Selon le 
procede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
r autorite de confiance signe im grand nombre d'identites. 
La technologie GQ precedemment decrite fait appel a la technologie RSA, 
Mais si la technologie RSA depend bel et bien de la factorisation du 
module n, cette dependance n*est pas une equivalence, loin s'en faut, 
cormne le demontrent les attaques dites "multiplicatives" centre les 
diverses nonnes de signature numerique mettant en oeuvre la technologie 
RSA. 

L'objectif de la technologie GQ2 est double : d'une part, ameliorer les 
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